火绒安全｜对品牌冒用零容忍 曝光伪装安装包静默监控套路

近日，火绒威胁情报中心关注到一款名为sysdiag.exe的程序，其冒用火绒品牌标识，且安装部署行为完全不符合火绒官方安装包的正常行为特征。

该程序以正规安全工具为名诱导终端安装，实则暗藏监测模块，行为存在安全与合规隐患。

经火绒安全工程师分析，该仿冒程序表面披着火绒“外衣”，实则在后台偷偷植入深信服上网行为管理软件，意图在用户毫不知情的情况下完成静默监控。据反馈，目前已有公司使用该程序，打着正规安全软件的旗号，要求员工在办公电脑上进行安装，此类行为已涉嫌侵犯火绒品牌合法权益。

火绒安全在此声明

该公司非我司客户或合作代理商，无任何合作授权。任何公司制作并强制要求员工安装冒用火绒商标、图标及名称软件的行为，已涉嫌侵犯注册商标专用权，同时构成不正当竞争，火绒有权依法追究其法律责任。

目前，火绒产品已可精准查杀该程序，请用户及时更新病毒库。

伪造火绒标识 无合法数字签名

该仿冒安装包sysdiag.exe，在外观上伪造了火绒安全软件的图标，试图误导用户信任，但从程序属性可明确识别其非火绒官方产品：

1.该安装包版本号为1.0.0.0，版权归属为“兰剑智能”，大小为80.8MB，与官方火绒安全软件的版本规范、版权信息完全不符；

2.该安装包无火绒官方合法数字签名，不符合火绒官方软件的安全发布标准；

静默植入监控软件 侵犯用户知情权

火绒安全工程师对该样本进行分析后，还原其完整的安装逻辑——

1、程序结构：该仿冒安装包内捆绑了三类组件—— 静默安装器、火绒官方安装包、深信服上网行为管理安装包；

2、执行逻辑：程序运行后，会通过静默安装器优先、无界面地安装深信服行为管理软件（该阶段使用静默安装参数，全程无安装提示，用户完全不知情），待监控软件安装完成后，再启动火绒安装包，以正常安装界面掩盖前期的恶意操作；

3、意图验证：因样本使用的静默安装器许可证过期，本地无法完成完整安装，但程序的执行顺序、静默参数配置等细节，已明确其“先偷装监控、再伪装正常安装火绒”的核心意图，本质是借火绒品牌的公信力，实现监控软件的隐蔽部署。

火绒安全防护建议

1.认准官方渠道

火绒安全软件仅通过火绒官网（https://www.huorong.cn/）及官方认证渠道发布，请勿从第三方、陌生邮件、不明链接下载安装包；

2.核验程序合法性

安装软件前，务必检查程序的版权信息、数字签名，火绒官方软件版权归属为 “北京火绒网络科技有限公司”，且具备合法数字签名；

3.警惕捆绑安装

遇到陌生安装包，切勿直接运行，可通过火绒安全软件进行查杀检测，或联系火绒官方运营核实；

4.企业合规管理

企业在部署办公软件、监控工具时，必须严格遵守法律法规，获得员工的明确授权，严禁通过仿冒、静默安装等违规方式部署程序，避免引发法律风险与安全事故。

严正声明

• 火绒官方从未与任何第三方合作，以捆绑、静默方式部署其他监控类软件，此类仿冒程序与火绒安全无任何关联。

• 火绒安全坚决反对任何冒用火绒品牌、侵害用户权益的行为。对于此类仿冒恶意程序，火绒安全将持续追踪溯源，并保留通过法律途径维护自身品牌权益与用户合法权益的权利。

• 若用户发现类似仿冒火绒的恶意程序，可通过火绒官方渠道反馈，火绒安全将第一时间进行分析处置，全力保障用户的信息安全。

若您在产品使用上有任何问题，或遇到可疑的安全威胁，欢迎随时通过以下官方渠道联系我们，火绒安全团队将竭诚为您提供技术支持：
火绒官方论坛：https://bbs.huorong.cn/

火绒官方服务热线：400-998-3555

（服务时间：法定工作日8:30-20:30，法定节假日9:30-18:30）