(つ`ω´)つ => Ubuntu 台灣社群: 仿冒 7-Zip 的 7zip.com 正在散播惡意軟體（★ 61 分）一個仿冒 7-Zip 的網站 7zip.com（正版只在 7-zip.org）長期提供「被植入木馬」的安裝程式，表面上能正常安裝 7‑Zip 檔案管理工具，實際上會在背景把受害者電腦變成「住宅代理」節點。案例來自 Reddit 的 r/pcmasterrace：一位組裝新 PC 的使用者照著 YouTube 教學下載，先在筆電安裝、再用 USB 傳到新桌機，過程遇到 32/64 位元錯誤就放棄改用 Windows 內建解壓縮；但約兩週後 Microsoft Defender 才跳出偵測 Trojan:Win32/Malgent!MSR，凸顯只要網域記錯這種小失誤，就可能讓攻擊者在不易察覺的情況下長期「借用」你的電腦與網路。 Malwarebytes 的分析指出，這不是隨便丟在不明網站的惡意檔案，而是用相似網域精心包裝的「仿冒安裝器」：安裝流程同時部署可用的 `7zfm.exe` 來降低戒心，並暗中丟下三個元件 `Uphero.exe`（服務管理與更新載入器）、`hero.exe`（主要代理負載，以 Go 語言編譯）、`hero.dll`（輔助函式庫），全部寫入 `C:WindowsSysWOW64hero\（SysWOW64 是 Windows 的系統目錄之一，通常不會被一般人檢查）。該安裝器還曾使用 Authenticode（Windows 程式碼簽章機制）簽章、憑藉已遭撤銷但看似「有簽章」的憑證增加可信度，並另外設置 `update.7zip.com` 的更新通道，讓惡意負載可獨立於安裝器之外持續更新。 > >感染後的行為鏈很完整：它會以 Windows 服務方式建立常駐，讓 `Uphero.exe` 與 `hero.exe` 以 SYSTEM 權限開機自動啟動；接著用 `netsh` 調整防火牆規則，替自身放行進出站流量；並透過 WMI（Windows Management Instrumentation，Windows 管理介面）與系統 API 蒐集硬體識別、記憶體、CPU、磁碟與網路設定等特徵，還會連到 iplogger.org 回報資訊。進一步分析顯示它的主要目的不是傳統後門，而是代理軟體（proxyware）：把受害者納入「住宅代理（residential proxy）」網路，讓第三方把流量轉送到受害者的真實 IP 上，用於詐騙、網頁爬取、廣告濫用或匿名洗白。`hero.exe` 會從輪替的 C2（command-and-control，指揮控制）網域取得設定，並在 1000、1002 等非標準連接埠建立對外代理連線，控制訊息以簡單 XOR（互斥或）編碼（金鑰 `0x70`）混淆；研究者也把它串到更大的行動，發現類似手法還用在 `upHola.exe`、upTiktok、upWhatsapp 等檔名上，像是同一套後端在換不同「品牌外皮」。 > >基礎設施面向上，惡意網域解析常透過 Cloudflare，並以 TLS（Transport Layer Security，傳輸層安全協定）加密的 HTTPS 溝通；同時使用 DoH（DNS-over-HTTPS，透過 HTTPS 的 DNS）走 Google 解析器，降低傳統 DNS 監控可見度。程式也具備反分析能力：偵測 VMware、VirtualBox、QEMU、Parallels 等虛擬機、反除錯、動態解析 API、檢查 PEB（Process Environment Block，程序環境區塊）等，並內建多種加密/編碼元件（AES、RC4、Camellia、Chaskey、Base64 等）來保護設定與通訊。防禦建議上，只要曾執行來自 7zip.com 的安裝器就應視為已遭入侵：可檢查是否出現指向 `C:WindowsSysWOW64hero\ 的 Windows 服務與名為 Uphero/hero 的防火牆規則，並封鎖已知 C2；Malwarebytes 表示可移除並清掉常駐機制，部分高風險或高度使用的電腦則可能選擇重灌以求徹底。在 Hacker News 討論裡，許多人把焦點放在「看似無害的內容生態」如何成為投毒管道：YouTube 教學影片只要貼錯網域，就可能把大量新手導向假站。也有人質疑一般人是否真的會檢查數位簽章，因為不少 Windows 開源軟體本來就沒簽章；延伸討論到程式碼簽章憑證成本，有留言指出 CA/B Forum（憑證授權機構/瀏覽器論壇）近年要求提高、甚至要求金鑰放在硬體權杖且需年年重發，使簽章憑證價格飆到一年數百美元，讓小型專案更難「用簽章教育使用者」。不少人轉而建議用 winget（Windows 套件管理器）或 Homebrew 這類工具安裝，讓工具替你處理來源與校驗；也有人認為主流瀏覽器已把該站標為疑似釣魚，顯示防護機制在多數情況下能攔下。另一些留言提醒搜尋結果可能被 SEO 或廣告置頂操弄，建議用 Wikipedia 的官方首頁欄位輔助辨識，但也擔心 Wikipedia 會因此成為新的攻擊目標；還有人提到 7-Zip 作者過往對 ASLR（Address Space Layout Randomization，位址空間配置隨機化）、DEP（Data Execution Prevention，資料執行防護）等基本強化功能態度保守，或改用 NanaZip 等分支。也出現技術面質疑：有人比對特定下載路徑的檔案在 7-zip.org 與 7-zip.com 之間「逐位元相同」，顯示惡意投放可能是分流、特定安裝器或特定時間點的變體，更凸顯「網域相似 + 信任線索」足以讓受害者在未察覺下中招。 👥 35 則討論、評論 💬 https://news.ycombinator.com/item?id=47014995 #699156d1f3b937fd61d24e2a

(つ`ω´)つ says to Ubuntu 台灣社群

仿冒 7-Zip 的 7zip.com 正在散播惡意軟體（★ 61 分）一個仿冒 7-Zip 的網站 7zip.com（正版只在 7-zip.org）長期提供「被植入木馬」的安裝程式，表面上能正常安裝 7‑Zip 檔案管理工具，實際上會在背景把受害者電腦變成「住宅代理」節點。案例來自 Reddit 的 r/pcmasterrace：一位組裝新 PC 的使用者照著 YouTube 教學下載，先在筆電安裝、再用 USB 傳到新桌機，過程遇到 32/64 位元錯誤就放棄改用 Windows 內建解壓縮；但約兩週後 Microsoft Defender 才跳出偵測 Trojan:Win32/Malgent!MSR，凸顯只要網域記錯這種小失誤，就可能讓攻擊者在不易察覺的情況下長期「借用」你的電腦與網路。 Malwarebytes 的分析指出，這不是隨便丟在不明網站的惡意檔案，而是用相似網域精心包裝的「仿冒安裝器」：安裝流程同時部署可用的 `7zfm.exe` 來降低戒心，並暗中丟下三個元件 `Uphero.exe`（服務管理與更新載入器）、`hero.exe`（主要代理負載，以 Go 語言編譯）、`hero.dll`（輔助函式庫），全部寫入 `C:WindowsSysWOW64hero\（SysWOW64 是 Windows 的系統目錄之一，通常不會被一般人檢查）。該安裝器還曾使用 Authenticode（Windows 程式碼簽章機制）簽章、憑藉已遭撤銷但看似「有簽章」的憑證增加可信度，並另外設置 `update.7zip.com` 的更新通道，讓惡意負載可獨立於安裝器之外持續更新。 > >感染後的行為鏈很完整：它會以 Windows 服務方式建立常駐，讓 `Uphero.exe` 與 `hero.exe` 以 SYSTEM 權限開機自動啟動；接著用 `netsh` 調整防火牆規則，替自身放行進出站流量；並透過 WMI（Windows Management Instrumentation，Windows 管理介面）與系統 API 蒐集硬體識別、記憶體、CPU、磁碟與網路設定等特徵，還會連到 iplogger.org 回報資訊。進一步分析顯示它的主要目的不是傳統後門，而是代理軟體（proxyware）：把受害者納入「住宅代理（residential proxy）」網路，讓第三方把流量轉送到受害者的真實 IP 上，用於詐騙、網頁爬取、廣告濫用或匿名洗白。`hero.exe` 會從輪替的 C2（command-and-control，指揮控制）網域取得設定，並在 1000、1002 等非標準連接埠建立對外代理連線，控制訊息以簡單 XOR（互斥或）編碼（金鑰 `0x70`）混淆；研究者也把它串到更大的行動，發現類似手法還用在 `upHola.exe`、upTiktok、upWhatsapp 等檔名上，像是同一套後端在換不同「品牌外皮」。 > >基礎設施面向上，惡意網域解析常透過 Cloudflare，並以 TLS（Transport Layer Security，傳輸層安全協定）加密的 HTTPS 溝通；同時使用 DoH（DNS-over-HTTPS，透過 HTTPS 的 DNS）走 Google 解析器，降低傳統 DNS 監控可見度。程式也具備反分析能力：偵測 VMware、VirtualBox、QEMU、Parallels 等虛擬機、反除錯、動態解析 API、檢查 PEB（Process Environment Block，程序環境區塊）等，並內建多種加密/編碼元件（AES、RC4、Camellia、Chaskey、Base64 等）來保護設定與通訊。防禦建議上，只要曾執行來自 7zip.com 的安裝器就應視為已遭入侵：可檢查是否出現指向 `C:WindowsSysWOW64hero\ 的 Windows 服務與名為 Uphero/hero 的防火牆規則，並封鎖已知 C2；Malwarebytes 表示可移除並清掉常駐機制，部分高風險或高度使用的電腦則可能選擇重灌以求徹底。在 Hacker News 討論裡，許多人把焦點放在「看似無害的內容生態」如何成為投毒管道：YouTube 教學影片只要貼錯網域，就可能把大量新手導向假站。也有人質疑一般人是否真的會檢查數位簽章，因為不少 Windows 開源軟體本來就沒簽章；延伸討論到程式碼簽章憑證成本，有留言指出 CA/B Forum（憑證授權機構/瀏覽器論壇）近年要求提高、甚至要求金鑰放在硬體權杖且需年年重發，使簽章憑證價格飆到一年數百美元，讓小型專案更難「用簽章教育使用者」。不少人轉而建議用 winget（Windows 套件管理器）或 Homebrew 這類工具安裝，讓工具替你處理來源與校驗；也有人認為主流瀏覽器已把該站標為疑似釣魚，顯示防護機制在多數情況下能攔下。另一些留言提醒搜尋結果可能被 SEO 或廣告置頂操弄，建議用 Wikipedia 的官方首頁欄位輔助辨識，但也擔心 Wikipedia 會因此成為新的攻擊目標；還有人提到 7-Zip 作者過往對 ASLR（Address Space Layout Randomization，位址空間配置隨機化）、DEP（Data Execution Prevention，資料執行防護）等基本強化功能態度保守，或改用 NanaZip 等分支。也出現技術面質疑：有人比對特定下載路徑的檔案在 7-zip.org 與 7-zip.com 之間「逐位元相同」，顯示惡意投放可能是分流、特定安裝器或特定時間點的變體，更凸顯「網域相似 + 信任線索」足以讓受害者在未察覺下中招。 👥 35 則討論、評論 💬 https://news.ycombinator.com/item?id=47014995

at Sun, Feb 15, 2026 1:17 PM