安全辩论东说念主员发现,一个伪造的 7-Zip 网站正在分发被植入木马的压缩器具装置包,该坏心法子会将用户电脑变为住宅代理节点。
住宅代理网罗期骗家庭用户配置转发流量,以此绕过走访已矣,并实施证据填充、网罗垂钓、坏心软件分发等各种坏心动作。
这一新式报复动作因用户举报激励等闲和蔼:该用户在不雅看 YouTube 上的电脑装机教程后,依照教程指点,从一个冒充 7-Zip 官方的网站下载了坏心装置包。
报复者注册了 7zip.com 域名,极易误导用户合计走访的是官方器具站点。此外,报复者还完好复制了 7-Zip 官方网站(7-zip.org)的笔墨实践与页面结构。
传播木马化 7-Zip 装置包的坏心网站
辩论东说念主员对该装置包进行分析后发现,其使用一张已被淹没的数字文凭签名,文凭原颁发给 Jozeal Network Technology Co.,Limited。
该坏心装置包内相同包含平日的 7-Zip 法子,可提供器具的完好功能,但会在装置历程中开释三个坏心文献:
·Uphero.exe ——职业惩办与更新加载法子
·hero.exe ——代理中枢载荷
·hero.dll ——支援库
{jz:field.toptypename/}这些文献会被开释至 C:WindowsSysWOW64hero 目次,法子还会以 SYSTEM 权限创建 Windows 自启动职业,确保坏心法子握久脱手。同期,报复者通过 netsh 呐喊修改防火墙规章,买球投注app允许坏心法子发起表里网伙同。
最终,坏心法子和会过 Windows 惩办行动(WMI)与 Windows 应用法子接口网络主机硬件、内存、CPU、磁盘及网罗配置信息,并将数据上报至 iplogger.org。
辩论东说念主员在分析该坏心法子打算时示意:"尽管初步迹象表示其具备后门类功能,但进一步分析阐明,该坏心软件的中枢用途为代理法子。受感染主契机被纳入住宅代理网罗,允许第三方通过受害者 IP 地址转发流量。"
分析表示,hero.exe 会从轮流的 smshero 系列 C2 域名得到配置,并在 1000、1002 等终点规端口开启外连代理通说念,戒指教唆则通过轻量级 XOR 算法进行浑浊加密。
这次报复动作并非仅伪装 7-Zip,还通过改削 HolaVPN、TikTok、WhatsApp、Wire VPN 等软件的装置包传播。
该坏心软件使用以 hero/smshero 为主题的轮流式呐喊戒指基础设施,流量经 Cloudflare 并采选 TLS 加密的 HTTPS 左券传输;同期通过谷歌领路器使用 HTTPS 加密 DNS(DoH),裁减瞩目方对旧例 DNS 流量监控的可见性。
法子还会检测 VMware、VirtualBox、QEMU、Parallels 等诬捏化环境及调试器,以此识别本人是否处于分析环境中。
安全大师残暴用户,不要平直点击 YouTube 视频中的集会或搜索引擎实施恶果,应为常用软件的官方下载页面添加书签,从正规渠说念得到软件。
备案号: