俄语版的带毒7-Zip在微软应用商店骗了很多中文用户 目前已被微软下架

据企业安全公司奇安信本月中旬发布的消息，奇安信威胁情报中心在日常运营中发现了一个异常行为，一个名为WindowsPackageManagerServer的进程经过复杂的操作最终启动了面纱的LummaSealer。针对该异常奇安信进行了调查，随后发现根源之一竟然来自微软商店，一款俄语版的7-Zip携带了相关病毒。

7-Zip是最知名的开源压缩管理软件之一，不过官方并未将其发布到微软商店，于是有黑客直接在微软商店发布带毒版的7-Zip并且通过了微软的审核，不过使用的名称是7z-Soft，当用户在搜索诸如7z、7-Zip时，微软商店给出的结果都是这款恶意版。

这款带毒版的7-Zip是俄语版的，理论上说主要用户并不是中文用户，但没想到不少中文用户中招了，为什么呢？因为从某度搜索7-Zip难以发现官网，排在前面的都是国内公司找某度付费投放的各类“7-Zip终身版”之类的。

或许是因为相信微软的品牌声誉，部分用户通过微软商店搜索7-Zip并安装了这款带毒版，随后恶意软件开始进行复杂的操作进行攻击。

根据奇安信公布的时间线，该公司在10月27日发现异常、在11月3日上报给微软、微软到11月中旬下架带毒版，12月奇安信对外发布公开报告。

但奇安信溯源发现至少在2023年1月这个病毒就出现了，奇安信平台收集的数据是3月17日开始有用户中招，不过微软商店只是一个分发渠道，黑客还通过torrent等渠道分发这款病毒。

还有个有意思的点是黑客通过一系列域名跳转后最终指向cdn.discordapp.com，这是知名通讯软件Discord的内容分发服务器，也就是黑客利用Discord来托管病毒。

Discord在11月6日发布公告称不再支持永久文件托管以打击各类恶意软件的持久化问题，时间上与奇安信发现病毒的时间基本重叠，不过奇安信没有提是否通报给了Discord，蓝点网估计奇安信是通报了，或许Discord决心关闭永久化托管也和奇安信的通报有关，毕竟之前DiscordCDN已经出现过不少恶意软件，Discord确实要下决心做一些更改。

至于病毒行为倒是没什么值得注意的了，黑客通过一系列行为最终诱导用户开启Chromium系、Firefox等浏览器的网页推送通知功能，然后用来推送各类色情信息进行引流。

奇安信还提到的一个问题是带毒版7-Zip在8月份下载量明显提升，彼时WinRAR出现高危漏洞，可能有不少企业和事业单位要求员工更换为开源的7-Zip，但估计不少用户从某度上压根找不到真正的7-Zip，于是转头去MicrosoftStore下载了。