2026 年 2 月 8 日，網絡安全公司 Malwarebytes 發出緊急警告，指出一個精心設計的假冒 7-Zip 官方網站正在互聯網上肆虐。這個偽造網站使用 7zip.com 作為網址，其設計版面及文字內容與正版網站 7-zip.org 幾乎完全相同，連專業人士也難以一眼分辨。BleepingComputer 於 2 月 10 日確認，該惡意網站至今仍處於活躍狀態。

更令人擔憂的是，黑客甚至在 Google 搜尋引擎投放廣告，使其排名比正版官方網站更高。根據 Reddit 用戶的回報，有用戶因為跟隨 YouTube 教學影片而誤下載該惡意程式。該用戶先在手提電腦安裝檔案，之後透過 USB 手指轉移到新組裝桌上電腦，期間遇到多次 32 位元與 64 位元錯誤，最終放棄使用該安裝程式，改用 Windows 內置解壓縮工具。直至近兩星期後，Microsoft Defender 才偵測到木馬程式並發出警報。

Malwarebytes 研究人員深入分析了這個惡意安裝程式的行為，揭示了令人震驚的三階段攻擊鏈。第一階段是表面正常的安裝過程：用戶下載並執行 7-Zip 應用程式時，電腦確實會安裝正版 7-Zip 軟件，這種「真假混雜」的手法讓用戶誤以為一切正常。

第二階段是隱蔽的惡意 Payload 釋放。當用戶完成安裝後，安裝程式會在 C:WindowsSysWOW64hero 目錄下秘密釋放三個惡意木馬程式：Uphero.exe 作為服務管理員及更新載入器、hero.exe 作為代理負載主程式、hero.dll 作為支援函式庫。這些檔案使用了已被撤銷的數碼憑證簽署，該憑證原本由 Jozeal Network Technology Co., Limited 持有。

第三階段是持久性建立與後續操作。這些惡意木馬會建立以系統最高權限（SYSTEM）運作的自動啟動 Windows 服務，也會利用 netsh 指令修改防火牆規則，強制允許這些程式建立入站和出站連線。整個過程用戶完全無知無覺，直到被安全軟件偵測或出現異常行為。

受感染的系統將被納入一個龐大的非法代理網絡，這是整個攻擊行動的最終目標。黑客將這些受感染的電腦出租給第三方，使它們成為殭屍網絡的一員。這些住宅代理網絡可以被犯罪分子用作隱藏真實身份，進行多種非法活動，包括釣魚電郵、惡意軟件散播、勒索軟件攻擊及憑證填充攻擊。

該惡意木馬具備高度反偵察能力，能夠主動偵測系統是否運作在 VMware、VirtualBox、QEMU 及 Parallels 等虛擬機器環境中。一旦發現處於分析環境就會停止運作，這使得資安研究人員更難以進行樣本分析。在通訊層面，hero.exe 會從輪換的「smshero」主題控制伺服器網域獲取配置，然後在 1,000 及 1,002 等非標準連接埠建立出站代理連接。

流量隱蔽技術更是一流：惡意程式透過 Cloudflare 基礎設施傳輸經 TLS 加密的流量，並利用 Google 解析器的 DNS-over-H HTTPS 技術來隱藏 DNS 請求。這些技術的結合導致常規安全監控手段難以察覺其異常行為，受害者往往在使用數週後才被偵測到。

Malwarebytes 研究人員發現，7-Zip 偽造網站只是更大規模惡意行動的冰山一角。進一步調查顯示，相關惡意程式包括 upHola.exe、upTiktok、upWhatsapp 及 upWire，全部使用相同的戰術、技術和程序（TTPs）。這些惡意程式同樣會部署到 SysWOW64 目錄、建立 Windows 服務持久性、透過 netsh 操控防火牆規則，並使用加密的 HTTPS 控制伺服器流量。

研究人員注意到，這些惡意程式內嵌的字串參考了多個 VPN 及代理品牌，顯示背後有統一的後端支援多個分發前線。這個發現令人擔憂，因為意味著黑客可能正在建立一個平台化的惡意軟件分發網絡，能夠快速針對熱門軟體創建假冒網站。

對於企業用戶而言，這意味著傳統的「只從官方網站下載」原則已經不足以確保安全。安全專家建議用戶應驗證軟件來源並將官方網站加入書籤，對意外程式碼簽署身份保持懷疑，並持續監察未經授權的 Windows 服務及防火牆規則變更。雖然這個惡意軟件建立了系統級持久性並修改防火牆規則，但信譽良好的安全軟件能有效偵測並移除惡意元件。Malwarebytes 表示其工具可以完全根除已知變種，並還原其持久性機制。

如何判斷我是否從官方網站下載了 7-Zip？

真正的 7-Zip 官方網站是 7-zip.org，而惡意網站使用 7zip.com。檢查網址時要特別注意：官方網站在「7-Zip」之間有連字符，惡意網站則沒有。此外，正版網站不會投放 Google 廣告來推廣下載連結。如果你不確定，建議直接訪問 7-zip.org 或透過軟體包管理器下載。

如果已經安裝了來自 7zip.com 的軟體該怎麼辦？

Malwarebytes 研究經理 Stefan Dasic 明確警告：「任何曾在 7zip.com 執行安裝程式的系統都應視為已被入侵。」建議立即使用專業安全軟件進行完整掃描，並重點檢查 C:WindowsSysWOW64hero 目錄是否存在異常檔案。如果發現感染，建議備份重要資料後進行系統徹底清理。

這類偽裝軟體下載站的攻擊為何越來越常見？

這類攻擊是精心設計的社會工程學與技術攻擊的結合。黑客利用用戶對免費實用工具的信任，創建視覺上難以區分的假冒網站。隨著全球每月約 540 萬次網絡攻擊的規模，攻擊者發現這種方式具有高投資回報率，尤其是能夠建立可出租的殭屍網絡代理，其經濟價值可能持續數年。