IT之家于2月11日发布消息，网络安全公司Malwarebytes近期发现，一个伪装成7-Zip软件的恶意程序正在通过搜索引擎和YouTube教程传播木马。

这起安全事件的源头，是一名用户在观看YouTube上的电脑组装教程时，点击了视频下方的下载链接。该链接指向的域名是7zip[.]com，其页面布局和文字内容几乎与官方网站7-zip.org的最新版本完全相同，极具欺骗性。

根据外媒bleepingcomputer的报道，这个恶意网站目前依然处于活跃状态，并且通过伪造数字签名等手段，极易诱导用户下载。

Malwarebytes研究人员分析发现，受害者运行该安装包后，电脑确实会安装正式版的7-Zip软件。但安装程序同时会在C:WindowsSysWOW64hero目录下释放三个恶意文件：Uphero.exe、hero.exe以及hero.dll。

这些恶意软件不仅会创建一个以系统最高权限运行的自启动服务，还会利用netsh命令修改防火墙规则，强行允许这些程序建立入站和出站连接。

该恶意软件的核心目的并非单纯的破坏，而是将受害者的电脑转化为“住宅代理节点”。黑客会利用Windows管理规范收集受害者的硬件、网络及磁盘信息，并将这些数据发送至远程服务器。

随后，被感染的设备会被租售给第三方，用于隐藏攻击者的真实IP地址，从而执行网络钓鱼、凭证填充等非法活动。

为了逃避安全检测，该恶意软件具备了高度的反侦察能力。它会主动检测系统是否运行在VMware、VirtualBox等虚拟机环境中，一旦发现身处分析环境便会停止运行。

在通信层面，它通过Cloudflare基础设施传输经过TLS加密的流量，并利用谷歌解析器的DNS-over-HTTPS技术来隐藏DNS请求，导致常规的安全监控手段难以察觉其异常行为。

研究人员还发现，同一攻击团伙利用类似手法，制作了TikTok和WhatsApp等软件的木马安装包。安全专家建议，用户在下载软件时务必通过书签访问最新官网域名，切勿轻信视频或搜索引擎推广中的第三方下载链接。