Fake-7-Zip-Installer: Trojaner verwandelt PCs in Proxy-Server

Eine manipulierte Version des beliebten Archivierungs-Tools 7-Zip verbreitet aktuell Schadsoftware. Nutzer laden versehentlich einen Trojaner herunter, der ihren PC in einen Proxy-Server verwandelt. Dieser Artikel erklärt, woran Sie die Fälschung erkennen und wie Sie Ihre Systeme prüfen.

• Was ist passiert? / Worum geht es?
• Wer ist betroffen?
• Was sollten Sie jetzt tun?
• Einordnung — Wie kritisch ist das wirklich?
• Weiterführende Ressourcen
• FAQ: Häufige Fragen zum Fake-7-Zip-Installer

Was ist passiert? / Worum geht es?

Sicherheitsforscher von Malwarebytes haben eine aktive Kampagne entdeckt, die eine manipulierte Version von 7-Zip verbreitet. Angreifer haben die Webseite 7zip.com erstellt, die der offiziellen Seite des Projektes täuschend ähnlich sieht. Die echte Domain von 7-Zip lautet hingegen 7-zip.org.

Der von der Fake-Seite heruntergeladene Installer enthält zwar eine funktionierende Version von 7-Zip, installiert aber im Hintergrund zusätzlich Schadsoftware. Dabei handelt es sich um einen Trojaner, der den infizierten PC in einen sogenannten „Residential Proxy Node“ verwandelt. Das bedeutet, dass Angreifer die Internetverbindung des Opfers missbrauchen. Sie leiten ihren eigenen Datenverkehr über den fremden PC. So umgehen sie Sperrungen und tarnen illegale Aktivitäten wie Phishing oder Credential Stuffing.

Die Schadsoftware sorgt dafür, dass sie dauerhaft auf dem System bleibt. Sie trägt sich in den Windows-Autostart ein und ändert Firewall-Regeln. Auch Microsoft Defender hat den Schädling teilweise erst mit Verzögerung erkannt (Detection: Trojan:Win32/Malgent!MSR).

Wer ist betroffen?

Betroffen sind alle Nutzer, die kürzlich 7-Zip heruntergeladen und dabei nicht exakt auf die URL geachtet haben. Insbesondere gefährdet sind Unternehmen und Privatpersonen, die nach Anleitungen in YouTube-Videos oder Google-Suchergebnissen vorgegangen sind.

Konkret trifft es jeden, der den Installer von der Domain 7zip.com geladen hat. Wenn Sie 7-Zip in Ihrer Firma nutzen oder Mitarbeitern das Herunterladen von Software erlauben, müssen Sie prüfen, ob die Installation von der korrekten Quelle stammt. Da 7-Zip in vielen KMUs als Standard-Tool zum Entpacken von Archiven eingesetzt wird, ist das Risiko einer ungewollten Infektion über Mitarbeiter-Downloads hoch.

Was sollten Sie jetzt tun?

Prüfen Sie Ihre Systeme sofort, wenn 7-Zip kürzlich installiert wurde. Nutzen Sie niemals 7zip.com als Quelle. Folgen Sie dieser Anleitung, um potenzielle Infektionen zu entfernen und zukünftige Angriffe zu verhindern.

1. Überprüfen Sie die Installationsquelle

Klären Sie mit Ihren Mitarbeitern, von wo sie 7-Zip bezogen haben. Die einzig sichere Quelle ist die offizielle Projektseite unter 7-zip.org. Weisen Sie Ihr Team an, Links in Videos oder Werbung generell zu misstrauen und immer die Domain im Browser zu prüfen.

2. Prüfen Sie auf die bösartigen Dateien

Der Trojaner installiert spezifische Dateien in einem bestimmten Verzeichnis. Öffnen Sie auf den betroffenen PCs den Windows Explorer und navigieren Sie zu folgendem Pfad:

C:\Windows\SysWOW64\hero\

Sollte dieser Ordner existieren, ist Ihr System mit sehr hoher Wahrscheinlichkeit kompromittiert. Suchen Sie dort gezielt nach diesen Dateien:

• Uphero.exe (Dienstmanager und Update-Loader)
• hero.exe (Hauptkomponente für den Proxy-Traffic)
• hero.dll (Unterstützungsbibliothek)

3. Suchen Sie nach manipulierten Windows-Diensten

Die Malware erstellt einen Windows-Dienst, um sich beim Systemstart automatisch auszuführen. Um dies zu prüfen, öffnen Sie die „Dienste“-Verwaltung:

1. Drücken Sie die Windows-Taste + R.
2. Geben Sie services.msc ein und drücken Sie Enter.
3. Durchsuchen Sie die Liste nach einem Dienst, der auf die Datei hero.exe oder Uphero.exe verweist.
4. Prüfen Sie auch die Firewall-Regeln. Öffnen Sie hierzu die Eingabeaufforderung (cmd) als Administrator und führen Sie folgenden Befehl aus, um alle Regeln anzuzeigen, die „hero“ enthalten:

netsh advfirewall firewall show rule name=all | findstr hero

Wenn dieser Befehl Ergebnisse liefert, wurden Firewall-Regeln für den Schädling erstellt.

4. Entfernung der Malware

Falls Sie die oben genannten Dateien oder Dienste finden, gehen Sie wie folgt vor, um den Schädling zu entfernen:

1. Dienst stoppen: Klicken Sie in der services.msc-Liste auf den verdächtigen Dienst (z. B. mit Verweis auf hero.exe). Wählen Sie „Dienst beenden“.
2. Dateien löschen: Öffnen Sie den Ordner C:\Windows\SysWOW64\hero\ im Windows Explorer. Löschen Sie alle darin enthaltenen Dateien (Uphero.exe, hero.exe, hero.dll). Sollte Windows den Zugriff verweigern, starten Sie den PC im „Abgesicherten Modus“ und wiederholen Sie den Schritt.
3. Dienst deinstallieren: Um den Dienst dauerhaft zu entfernen, nutzen Sie die Eingabeaufforderung (cmd) als Administrator. Geben Sie den Befehl sc delete <Dienstname> ein. Ersetzen Sie <Dienstname> durch den exakten Namen des Dienstes, den Sie in Schritt 3 identifiziert haben.
4. System scanen: Führen Sie einen vollständigen Scan mit Ihrer Antiviren-Lösung durch, um sicherzustellen, dass keine weiteren Komponenten verbleiben.
5. 7-Zip austauschen: Deinstallieren Sie die manipulierte 7-Zip-Version über die Systemsteuerung. Installieren Sie die originale Software nur von 7-zip.org neu.

5. Langfristige Maßnahmen: Software-Management etablieren

Verhindern Sie, dass Mitarbeiter Software willkürlich aus dem Internet herunterladen. Definieren Sie klare Richtlinien:

• Erlauben Sie Downloads nur von Hersteller-Webseiten oder vertrauenswürdigen Portalen.
• Nutzen Sie Software-Verteilungs-Tools, um Standardanwendungen wie 7-Zip zentral zu steuern.
• Schärfen Sie das Sicherheitsbewusstsein Ihrer Mitarbeiter regelmäßig hinsichtlich Phishing und Fake-Webseiten.

Konkretes Beispiel: Einsatz von Chocolatey

Ein bewährtes Tool für die Software-Verteilung im Mittelstand ist Chocolatey. Es ermöglicht Administratoren, Software über die Kommandozeile zu verwalten. So stellen Sie sicher, dass Mitarbeiter immer die richtige Version aus einer sicheren Quelle beziehen.

1. Installation: Installieren Sie Chocolatey zentral auf den Verwaltungs-PCs.
2. Paket erstellen: Nutzen Sie den Befehl choco install 7zip in Ihren Skripten. Dieser Befehl lädt 7-Zip ausschließlich aus den offiziellen Chocolatey-Repositories herunter, die auf Integrität geprüft sind.
3. Automatisierung: Integrieren Sie diesen Schritt in Ihre Onboarding-Prozesse. Neue Mitarbeiter erhalten so automatisch die korrekte Software, ohne selbst im Internet suchen zu müssen.

6. Fallstudie: Das Szenario im Mittelstand

Stellen Sie sich ein typisches Szenario in einem 50-Personen-Unternehmen vor. Ein Azubi benötigt dringend ein Archivierungsprogramm für ein Projekt. Er googelt nach „7-Zip Download“ und klickt auf den ersten scheinbar relevanten Link – die 7zip.com. Er installiert das Tool, es funktioniert einwandfrei. Niemand bemerkt etwas.

In den Folgewochen bemerken Sie jedoch, dass der Internetverkehr langsam wird, und Sie erhalten Warnungen von Ihrem E-Mail-Provider, dass Ihre IP-Adresse für Spamversand gesperrt wurde. Grund ist der auf dem Azubi-PC installierte Proxy. Er leitet den Spam-Verkehr von Kriminellen über Ihre Firmenleitung. Solche Fälle sind keine Seltenheit und zeigen, wie wichtig die Kontrolle der Softwarequellen ist.

Einordnung — Wie kritisch ist das wirklich?

Diese Gefahr ist ernst zu nehmen, aber keine Panikmache. Es handelt sich nicht um eine komplexe Hackerattacke, die Firewalls direkt überwindet, sondern um „Social Engineering“ auf Nutzer-Ebene. Der Angriff funktioniert nur, wenn ein Mensch den falschen Download-Link anklickt.

Für ein KMU ist das Risiko jedoch hoch, da oft keine strikten Richtlinien zum Download von Software bestehen. Ein infizierter PC im Firmennetzwerk kann als Proxy missbraucht werden. Das hat zur Folge, dass Ihre IP-Adresse in verdächtige Aktivitäten verwickelt wird. Im schlimmsten Fall landen Ihre Server-IPs auf Blacklists, was den E-Mail-Verkehr oder den Zugriff auf bestimmte Webdienste behindern kann.

Das BSI hat zu diesem spezifischen Vorfall zum jetzigen Zeitpunkt noch keine separate Warnung herausgegeben, aber das Vorgehen entspricht klassischen Mustern von Supply-Chain-Angriffen auf Nutzer-Ebene. Die Tatsache, dass die Fake-Domain 7zip.com noch aktiv ist und in Suchmaschinen gut rankt, macht die Gefahr aktuell und dringlich. Wenn Sie Mitarbeiter haben, die selbstständig Software installieren, ist die Wahrscheinlichkeit eines Klicks auf die falsche Seite gegeben.

Weiterführende Ressourcen

Hier finden Sie die offiziellen Warnungen und Details der Sicherheitsforscher:

• Bericht von Malwarebytes zur Bedrohung
• Artikel bei Golem.de zur aktuellen Warnung
• Analyse von BleepingComputer zum Schädling

FAQ: Häufige Fragen zum Fake-7-Zip-Installer

Wie erkenne ich die echte 7-Zip Webseite?

Die echte Webseite wird exklusiv unter der Domain 7-zip.org betrieben. Achten Sie auf die Endung „.org“. Die Domain 7zip.com ist eine Fälschung und sollte gemieden werden.

Schadet der Trojaner meiner Hardware direkt?

Nein, der Trojaner nutzt keine Hardware-Ressourcen, um diese zu beschädigen wie bei Ransomware. Er missbraucht jedoch Ihre Internetleitung und CPU-Leistung, um Proxy-Traffic für Dritte zu leiten.

Mein Virenscanner hat nichts gemeldet. Bin ich sicher?

Nicht zwangsläufig. Die manipulierten Installer enthalten die echte 7-Zip-Software, was Virenscanner täuschen kann. Prüfen Sie manuell den Ordner C:\Windows\SysWOW64\hero\, um sicherzugehen.

Wie kann ich Software-Installationen im Unternehmen zentral verwalten?

Nutzen Sie Software-Verteilungstools wie Chocolatey oder Intune. Diese Tools erlauben es Administratoren, vordefinierte Softwarepakete aus sicheren Quellen auf alle Mitarbeiter-PCs auszurollen. Dies verhindert, dass Mitarbeiter versehentlich infizierte Downloads aus dem Internet installieren.