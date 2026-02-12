Riasztást adott ki a Malwarebytes biztonsági cég, felfedezése szerint bűnözők hamis weboldalt hoztak létre a népszerű 7-Zip tömörítőprogramnak, és kártevővel fertőzött változatot terjesztenek belőle. A hamis webhely ránézésre tökéletes klónja az ingyenes és nyílt forráskódú program valódi weboldalának, letölthető róla az alkalmazás, látszólag minden rendben van a telepítése után.

Próbálnak az áldozataik hátai mögött bujkálni a kiberbűnözők

Fotó: Sebastiaan Stam / Unsplash

A valóságban sajnos nem ez a helyzet, a bűnözők olyan kártevőt csempésztek a csaló weboldalról letölthető telepítőbe, amely folyamatosan aktív hátsó kaput nyit számukra az átvert áldozatok számítógépein. Egy proxyware kártevőről van szó, amely lehetővé teszi a bűnözők számára, hogy keresztül küldjék az adatforgalmukat az áldozatok számítógépein, végső soron az internetkapcsolatukon.

A trükkel be tudnak bújni az áldozatok háta mögé. Például ha meg akarnak hackelni egy céget, akkor úgy fog tűnni, mintha az áldozatuk IP-címéről érkezett volna a támadás.

Még elérhető a bűnözők hamis weboldala

A 7-Zip telepítőkészletébe rejtett kártevő eredetileg érvényes digitális aláírással volt ellátva, ám azt mostanra sikerült érvényteleníteni, így a Windows elméletileg nem hajlandó többé elindítani. Sajnos a támadó weboldal hírünk írásakor még üzemelt, tájékoztatásul a 7-zip [pont] com címen volt elérhető.

A tömörítőprogram valódi webhelyének 7-zip.org a címe, onnan kell letölteni az alkalmazást.

A kártevős telepítőkészletet elindítva létrejön a C:\Windows\SysWOW64 mappában egy új „hero” nevű mappa, amely bekerülnek az

Uphero.exe, a

hero.exe, továbbá a

hero.dll állományok.

Ténylegesen ezek jelentik a kártevőt, a bűnözők az exe fájlokat magas szintű jogosultsággal való automatikus indításra állították a Windowsban.

A digitális aláírás visszavonásával elméletileg sikerült semlegesíteni a kártevő már telepített példányait, plusz a vírusirtók is riaszthatnak rájuk. Ennek ellenére akinél fennáll a fertőzés gyanúja, az indítsa újra a számítógépét, majd egy adminisztrátori jogosultsággal elindított fájlkezelő alkalmazásban ellenőrizze a fenti „hero” mappa meglétét, törölje azt a benne lévő fájlokkal együtt.