安全盘考东说念主员发现，个伪造的 7-Zip 网站正在分发被植入木马的压缩器具装置包六安罐体保温施工队，该坏心步伐会将用户电脑变为住宅代理节点。

住宅代理网罗欺诈庭用户设立转发流量，以此绕过拜访限制，并推行凭据填充、网罗垂纶、坏心软件分发等各类坏心步履。 

这新式挫折步履因用户举报激发泛泛关心：该用户在不雅看 YouTube 上的电脑装机教程后，依照教程雷同，从个冒充 7-Zip 官的网站下载了坏心装置包。

挫折者注册了 7zip.com 域名，易误用户合计拜访的是官器具站点。此外，挫折者还完满复制了 7-Zip 官网站（7-zip.org）的笔墨试验与页面结构。

传播木马化 7-Zip 装置包的坏心网站

盘考东说念主员对该装置包进行分析后发现，其使用张已被排除的数字文凭签名，文凭原颁发给 Jozeal Network Technology Co.，Limited。

该坏心装置包内同样包含宽阔的 7-Zip 步伐，可提供器具的完满，但会在装置历程中开释三个坏心文献：

·Uphero.exe ——劳动经管与新加载步伐六安罐体保温施工队

·hero.exe ——代理中枢载荷

·hero.dll ——支持库

这些文献会被开释至 C:WindowsSysWOW64hero 目次，步伐还会以 SYSTEM 权限创建 Windows 自启动劳动，确保坏心步伐抓久脱手。同期，挫折者通过 netsh 号令修改火墙挨次，管道保温施工允许坏心步伐发起表里网勾通。

终，坏心步伐和会过 Windows 经管规范（WMI）与 Windows 应用步伐接口荟萃主机硬件、内存、CPU、磁盘及网罗成就信息，并将数据上报至 iplogger.org。 

盘考东说念主员在分析该坏心步伐标的时默示："尽管初步迹象示其具备后门类，但越过分析说明，该坏心软件的中枢用途为代理步伐。受感染主契机被纳入住宅代理网罗，允许三通过受害者 IP 地址转发流量。"

分析示，hero.exe 会从交替的 smshero 系列 C2 域名获得成就，并在 1、12 等超过规端口开启外连代理通说念，限制提示则通过轻量 XOR 算法进行污染加密。 

这次挫折步履并非仅伪装 7-Zip，还通过篡改 HolaVPN、TikTok、WhatsApp、Wire VPN 等软件的装置包传播。 

该坏心软件使用以 hero/smshero 为主题的交替式号令限制基础设施，流量经 Cloudflare 并选拔 TLS 加密的 HTTPS 公约传输；同期通过谷歌倡导器使用 HTTPS 加密 DNS（DoH），镌汰守对惯例 DNS 流量监控的可见。

步伐还会检测 VMware、VirtualBox、QEMU、Parallels 等假造化环境及调试器，以此识别本人是否处于分析环境中。 

安全提议用户，不要径直 YouTube 中的聚合或搜索引擎广效能，应为常用软件的官下载页面添加书签六安罐体保温施工队，从正规渠说念获得软件。