好评如潮的解压软件「7 Zip」，把你的电脑当“矿场肉机”了

来源：电手

编辑：阿红

2026-02-16 11:43

2026 年，分辨“李逵”与“李鬼”成了 PC 圈开年的主旋律。

在硬件价格集体上涨爆锤玩家的时期，软件方面的坑也是层出不穷。

这种真假难辨的戏码上个月就已经出现过，不法分子盯上了 Windows 的激活软件 MAS，打造出了「盗版激活」的盗版。

区别是激活脚本的文本，盗版和原版之间差了一个「d」。

不熟悉的同学可以看下咱们之前的报道：

那除了激活是 Windows 的必备课，还有啥是电脑必用的呢？

没错。

看到这种手法的不法分子如法炮制，把主意打到了电脑必备——解压软件的身上。

主角嘛，就是受广大用户一致好评的 7-Zip。

用过的的同学肯定都不陌生了，因其开源小巧，并且性能也不差，所以经常会出现在各个电脑博主的软件推荐名单当中。

并且这次的 7-Zip 会更容易上当。

据知名安全厂商 Malwarebytes 报道，这次的黑客攻击的高明之处在于它利用了我们的「经验主义」。

给大伙儿 2 秒的时间，判断以下哪个是 7-Zip 的正确官网：

7-zip.org

7zip.com

看上去更像是咱们常用的第二个.com 后缀，但真实的实际上是第一个。

打开假网站，会发现跟原版的差别不大，甚至要更精致一点。

难绷的是他和上面盗版 MAS 差不多，下载安装包并不是一个空壳，它在运行后真的会为你安装一个功能完全正常的正版 7-Zip。由于解压缩功能一切正常，所以用户一般不会察觉。

然而，看不到的后台，随着安装包启动的还有一套名为「住宅代理（Residential Proxy）」的木马程序。

恶意程序会自动释放文件到系统关键目录 C:\Windows\SysWOW64\hero\，生成 hero.exe、Uphero.exe、hero.dll 等组件，以 SYSTEM 最高权限注册系统服务，实现开机自启，并通过 netsh 命令修改防火墙规则，为后台联网扫清障碍。

为规避检测，它还集成虚拟机检测（针对 VMware、VirtualBox 等）、反调试机制、运行时 API 解析和进程枚举等技术。

那么这个木马程序是干嘛的的呢？

简单来说，黑客把感染的用户的电脑变成了一个「收钱」的节点。

也就是把用户的的宽带和 IP 地址，偷偷打包卖给了那些需要「住宅 IP」的黑产组织或代理服务商。也就是说，他们不需要自己购买服务器，只要感染的电脑够多，就能构建起一个庞大的、可以随时出租的 IP 池。

完全做到空手套白狼。

而作为用户的你就比较惨了。首先是法律上的“背锅”风险：当那些灰产买家通过你的 IP 地址去发动网络攻击、刷单或者进行非法交易时，网警溯源到的第一站往往就是你家。其次是隐私与安全：这种木马会强行修改系统防火墙规则，让你的电脑甚至家庭局域网里的摄像头、NAS 暴露在黑客的视野中。

不过大伙儿也不用太过担心，目前微软已经把这条「木马」集成到 Windows Defender 病毒库当中了，检测到会有「Trojan:Win32/Malgent!MSR」病毒弹窗。

网站目前也设置了不安全的强提醒。

而如果暂停更新 Windows Defender 并且已经在用的同学可以进资源管理器查找是否有「C:\Windows\SysWOW64\hero\」目录进行自查。

如果有还是开启 Windows Defender 的更新查杀。

毕竟，比起微软奇奇怪怪的问题，把电脑给黑客当「肉鸡」更让人难以接受。

数据素材来源：malwarebytes、微软、reddit，图源网络。

本文编辑：@ 阿红

热门内容