---
title: مراقب نسخه جعلی 7Zip باشید؛ دستگاهتان ممکن است ابزار مجرمان شود
date: 2026-07-10T10:00:07Z
modified: 2026-07-10T10:00:03Z
permalink: "https://nooshdaroo.ir/news-opinion/how-fake-7zip-uses-your-ip-for-cybercrime/"
type: post
status: publish
excerpt: ""
wpid: 14520
categories:
  - خبر و تحلیل
  - ابزارها و افزونه‌ها
tags:
  - top-section-overwrite
  - امنیت سایبری
  - بدافزار
author:
  - Hooshyar
  - daniyal
featured_image: "https://nooshdaroo.ir/wp-content/uploads/2026/07/fake-7zip.webp"
---

دانلود یک نرم‌افزار ساده برای باز کردن فایل‌های فشرده، در ظاهر اقدامی کاملاً عادی است؛ اما اگر نسخه‌ای جعلی از آن را نصب کنید، ممکن است کامپیوتر شما بی‌آنکه متوجه شوید به بخشی از زیرساخت مجرمان سایبری تبدیل شود. پژوهشگران امنیت سایبری شبکه‌ای پیچیده را کشف کرده‌اند که دقیقاً با همین روش و از طریق توزیع نسخه‌های جعلی از نرم‌افزارهای کاربردی مانند 7zip، دستگاه قربانی‌ها را به‌ شکل پنهانی به ابزارهای مسیریابی ترافیک (پراکسی) تبدیل می‌کند.

## چگونه کاربران با دامنه‌های تقلبی به دام می‌افتند؟

گروهی که پژوهشگران آن را با نام «Lurking Lizard» (مارمولک کمین‌کرده) معرفی کرده‌اند و منشأ آن را به چین نسبت می‌دهند، دست‌کم از مرداد ۱۴۰۱ در حال توسعه یک زیرساخت مخرب و یکپارچه است. این گروه بیش از ۲۳۰ دامنه اینترنتی ثبت کرده است که نام و ظاهری کاملاً شبیه به وب‌سایت‌های رسمی دارند. یکی از مهم‌ترین عملیات‌های این شبکه، سوءاستفاده از نام نرم‌افزار فشرده‌سازی 7-Zip است.

##### نکته

دامنه رسمی 7-Zip، آدرس `7-zip.org` است. دامنه‌های شبیه، حتی اگر ظاهر حرفه‌ای داشته باشند، لزوماً متعلق به توسعه‌دهنده اصلی نیستند.



این مهاجمان از تکنیکی به نام «تصاحب دامنه‌های منقضی‌شده» (Drop-catching) بهره می‌برند؛ یعنی دامنه‌هایی را که تاریخ انقضایشان سر رسیده می‌خرند تا از سابقه و اعتبار قدیمی آن‌ها سوءاستفاده کنند.

در مواردی دیگر، آن‌ها از اشتباهات رایج تایپی یا لینک‌دهی کاربران بهره می‌برند؛ مثلاً دامنه`` ``7zip.com```` را ثبت کرده‌اند تا کاربرانی را که به‌جای آدرس رسمی `7-zip.org` به اشتباه وارد این سایت می‌شوند، به دام بیندازند و نسخه آلوده نرم‌افزار 7-Zip را به آن‌ها قالب کنند.

## خطر فقط در کامپیوترها نیست؛ از واتس‌اپ تا فیلترشکن‌ها

بررسی‌ها نشان می‌دهد این شبکه فقط به 7-Zip محدود نبوده است. پژوهشگران رد همین زیرساخت را در نسخه‌های جعلی واتس‌اپ، ابزارهای دروغین دانلود از تیک‌تاک و یوتیوب و همچنین برندی به نام WireVPN دیده‌اند.

  [ ![نمایش کلمه vpn روی صفحه تلفن هوشمند و فردی با چشمان بسته](https://nooshdaroo.ir/wp-content/uploads/2025/04/nooshdaroo_67f26f7686ed6-scaled.webp) ](https://nooshdaroo.ir/smartphone-security/choose-vpn-wisley/) 

 

#####  [ چرا نباید چشم بسته از وی‌پی‌ان‌ها استفاده کنیم؟](https://nooshdaroo.ir/smartphone-security/choose-vpn-wisley/) 

 

 

  



این موضوع نشان می‌دهد مهاجمان تلاش کرده‌اند کاربران سیستم‌عامل‌های مختلف، از ویندوز تا اندروید، مک و ویندوز را هدف بگیرند. البته درباره نسخه‌های موبایلی هنوز روشن نیست همان قابلیت تبدیل دستگاه به گره پراکسی وجود داشته یا نه؛ اما استفاده از همین زیرساخت، دامنه خطر را گسترده‌تر می‌کند.

## فعالیت خاموش بدافزار در پس‌زمینه چگونه است؟

در مورد فشرده‌ساز 7-Zip، کاربر با نصب نرم‌افزار تقلبی در ویندوز، تفاوتی در عملکرد نمی‌بیند تا شکی ایجاد نشود؛ اما فایل نصب‌کننده در پس‌زمینه، سه مؤلفه مخرب را در پوشه‌های سیستمی ویندوز مستقر می‌کند.

- در جریان نصب، بدافزار با ایجاد تغییراتی در سیستم، امکان ماندگاری خود پس از هر بار راه‌اندازی ویندوز را فراهم می‌کند.
- سپس قوانین دیوار آتش را تغییر می‌دهد تا ارتباطات شبکه بدافزار مسدود نشوند.
- پس از این مرحله، کامپیوتر قربانی می‌تواند به یک «گره پراکسی» تبدیل شود؛ یعنی دستگاهی که مهاجمان از آن برای عبور دادن ترافیک اینترنتی خود استفاده می‌کنند.

در ادامه، بدافزار برای فرار از سیستم‌های نظارتی، درخواست‌های اینترنتی خود را از طریق فناوری DNS-over-HTTPS[1](#bd93097f-95fc-4910-b12d-15b4cff38759) در قالب ترافیک عادی و رمزگذاری‌شده پنهان می‌کند.

### چه پیامدهای امنیتی و حقوقی برای کاربرها دارد؟

تبدیل شدن دستگاه به گره پراکسی فقط به معنی مصرف‌شدن بخشی از اینترنت شما نیست. اگر ترافیک مشکوک، حمله، کلاهبرداری یا تلاش برای ورود غیرمجاز از مسیر IP شما عبور کند، ممکن است همان IP در سامانه‌های امنیتی، ضدتقلب یا فهرست‌های مسدودسازی به‌عنوان منبع ترافیک مخرب ثبت شود.

در نتیجه، ممکن است بعضی سرویس‌ها اتصال شما را مشکوک تشخیص دهند، دسترسی شما محدود شود یا در محیط کاری، تیم امنیتی با ترافیکی روبه‌رو شود که ظاهراً از داخل شبکه خودتان آمده است. در شرایط خاص، چنین وضعیتی می‌تواند دردسرهای اعتباری، امنیتی و حتی حقوقی ایجاد کند.

## چگونه ایمن بمانیم؟

با توجه به اینکه این بدافزار بدون هیچ نشانه‌ای در پس‌زمینه فعالیت می‌کند، کاربران و مدیران شبکه باید اقدامات محافظتی پیشگیرانه و دقیقی را به کار بگیرند:

- **تأیید اصالت منابع دانلود**
    همواره آدرس وب‌سایت‌ها را با دقت بررسی کنید. اگر به اصالت یک وب‌سایت مشکوک هستید، نام آن را همراه با عبارت Official Website جستجو کنید و نشانی دامنه را با وب‌سایت رسمی توسعه‌دهنده مطابقت دهید.
- **بررسی امضاهای دیجیتال**
    نصب‌کننده‌های جعلی معمولاً دارای امضاهای دیجیتال ناشناس یا نامرتبط با توسعه‌دهنده اصلی هستند. به‌عنوان مثال، نسخه جعلی `7-Zip` دارای گواهی شرکتی به‌ نام Jozeal Network Technology بود. در ویندوز می‌توانید روی فایل نصب راست‌کلیک و گزینه **Properties** را انتخاب کنید. سپس در زبانه **Digital Signatures** بررسی کنید که نام ناشر با توسعه‌دهنده اصلی نرم‌افزار مطابقت داشته باشد. نبود امضا یا مشاهده ناشر ناشناس می‌تواند نشانه‌ای از جعلی بودن فایل باشد.
- **پایش لاگ‌های دیوار آتش**
    اگر مدیر شبکه هستید، برای یافتن سرویس‌های ویندوزی غیرمجاز و تغییرات مشکوک در قوانین دیوار آتش، لاگ‌های آن را بررسی کنید. در این بدافزار خاص، باید به‌ دنبال قوانینی با نام hero یا Uphero و فایل‌های اجرایی مرتبط در مسیر `C:\Windows\SysWOW64\hero` باشید.
- **مسدودسازی دامنه‌های مخرب و ترافیک پنهان**
    نظارت بر ترافیک DNS-over-HTTPS که از سوی پردازش‌هایی غیر از مرورگرهای وب ایجاد می‌شود، یکی از بهترین راه‌ها برای شناسایی این ارتباطات پنهانی است.
- **محدودیت دسترسی**
    در شبکه‌های سازمانی با محدود کردن دسترسی ادمین (Administrator) برای کاربرها، می‌توانید از نصب این بدافزار در پوشه‌های حساس سیستمی جلوگیری کنید.



  [ ![یک لپ‌تاپ با صفحه‌نمایش روشن دیده می‌شود که طرحی سه‌بعدی و آبی‌رنگ شبیه به گل یا موج روی آن نمایش داده شده است. پس‌زمینه کاملاً تاریک است و نور آبی صفحه‌نمایش، لپ‌تاپ را در مرکز توجه قرار داده است.](https://nooshdaroo.ir/wp-content/uploads/2025/12/nooshdaroo_693a9d11ec67e.webp) ](https://nooshdaroo.ir/cybersecurity-basics/windows-malware-removal/) 

 

#####  [راهنمای نجات کامپیوتر ویندوزی از شر ویروس و بدافزار (بدون هزینه!)](https://nooshdaroo.ir/cybersecurity-basics/windows-malware-removal/) 

 

 

  

1. فناوری DNS-over-HTTPS روشی برای رمزگذاری درخواست‌های DNS است که در حالت عادی به حفظ حریم خصوصی کاربران کمک می‌کند، اما در این حمله صرفاً مورد سوءاستفاده قرار گرفته است. [↩︎](#bd93097f-95fc-4910-b12d-15b4cff38759-link)