警惕虚假7-Zip下载：当心你的电脑变成代理节点

摘要

攻击者搭建仿冒7-Zip官网的钓鱼站点，分发含有恶意载荷的伪造成安装程序。这些恶意软件使用已撤销的证书签名，部署后会将受害者电脑转化为住宅代理节点，通过其IP地址为犯罪分子提供匿名网络服务。安全研究人员发现该木马具备反沙箱、加密通信等高级规避能力，并与其他虚假软件安装程序共享基础设施。

内容框架与概述

本文首先通过一个真实案例引入：一位PC用户在YouTube教程指引下从7zip.com下载软件，遭遇木马感染。攻击者利用用户对权威网站的信任心理，通过域名仿冒和代码签名伪装实现欺骗。

接着文章深入分析了恶意软件的技术实现。该木马由三个核心组件构成，均部署在系统特权目录并建立持久性机制，同时修改防火墙规则以确保网络通信畅通。攻击者还设立了独立更新通道，可远程更换载荷版本。

进一步调查显示，此类攻击并非孤立事件。攻击者使用相同手法针对多款热门软件分发虚假安装程序，表明背后存在成熟的基础设施和统一的幕后运营团队。

文章最后提供了完整的技术指标和防护建议，帮助用户识别和清除威胁，同时向完成分析工作的安全研究人员致谢。

核心概念及解读

住宅代理（Residential Proxy）：通过真实家庭用户的IP地址转发的网络服务，常被用于绕过反爬虫检测或匿名化网络活动。

木马化安装程序（Trojanized Installer）：在合法软件安装包中嵌入恶意代码，用户安装看似正常的软件时同时激活木马。

代码签名证书（Authenticode Certificate）：用于验证软件发行者身份的数字证书，攻击者滥用已撤销的证书骗取用户信任。

命令与控制（C2）：攻击者用于远程控制受感染系统的服务器架构，本文中的恶意软件使用域名轮换和加密通信规避检测。

SysWOW64目录：Windows系统中存放32位系统文件的目录，恶意软件利用此目录隐藏载荷以降低用户发现概率。

原文信息

此摘要卡片由 AI 自动生成