# 警惕！一个高仿DeepSeek的钓鱼网站及恶意安装包分析

 

## 0x00 事件背景

 

近期在搜索DeepSeek相关信息时，发现了一个高仿钓鱼网站 `web.deepseekem.com`，其页面设计与DeepSeek官网（`deepseek.com`）高度相似，普通用户几乎无法肉眼区分。

 

更严重的是，该网站诱导用户下载名为 `DeepSeekV20.66-Setup.zip` 的恶意安装包，声称是“DeepSeek电脑客户端”。经技术分析确认，这是一个典型的钓鱼攻击行为，利用AI热点传播木马程序。

 

**核心结论先行**：

- DeepSeek官方从未推出Windows或Mac客户端

- 所有“电脑版安装包”均为钓鱼木马

- 官方服务永久免费，无任何付费项目

 

---

 

## 0x01 钓鱼网站特征分析

 

### 1.1 域名仿冒

 

| 对比项 | 官方 DeepSeek | 仿冒网站 |

|--------|--------------|----------|

| 域名 | `deepseek.com` 或 `chat.deepseek.com` | `web.deepseekem.com`（多了“em”） |

| 页面设计 | 高度相似（完全抄袭） | 高度相似 |

| 性质 | 官方认证，安全可靠 | 仿冒域名，高危风险 |

 

### 1.2 盗用备案号

 

仿冒网站直接抄袭了官方的ICP备案信息：

 

| 项目 | 官方信息 | 仿冒网站显示 |

|------|----------|--------------|

| 备案号 | 浙ICP备2023025841号-1 | 完全相同（盗用） |

| 主办单位 | 杭州深度求索人工智能基础技术研究有限公司 | 完全相同（盗用） |

 

**技术说明**：ICP备案号与域名是一对一绑定的。一个备案号只能对应一个域名，`deepseek.com` 的备案号不可能同时属于 `deepseekem.com`。仿冒网站的服务器通常设在境外（如美国、香港），无法在中国工信部完成真实备案，因此只能盗用正规备案号来欺骗用户。

 

**验证方法**：

1. 访问工信部ICP备案查询官网：`https://beian.miit.gov.cn`

2. 输入域名 `deepseekem.com` 进行查询

3. 如果查不到任何记录，或查到的主办单位与网站显示不一致，即为仿冒网站

 

### 1.3 已知风险

 

该仿冒网站已被安全机构报告用于传播 **BrowserVenom木马**，可窃取浏览器数据、劫持上网行为。具体行为包括：

- 窃取浏览器中保存的密码、Cookies

- 监控并篡改用户上网行为

- 强制跳转至钓鱼页面

- 在后台窃取用户输入的所有信息

 

---

 

## 0x02 恶意安装包检测分析

 

### 2.1 样本基本信息

 

| 项目 | 信息 |

|------|------|

| 文件名 | `DeepSeekV20.66-Setup.zip` |

| 托管地址 | `kk9win.oss-cn-hongkong.aliyuncs.com` |

| 文件格式 | ZIP压缩包 |

| 首次提交 | 2026-04-02 |

| 末次分析 | 2026-04-02 11:48:25 |

 

### 2.2 微步在线云沙箱检测结果

 

| 检测维度 | 结果 | 说明 |

|----------|------|------|

| 微步情报检测 | **恶意** | 威胁情报系统确认该域名为恶意 |

| 引擎检出率 | **2/13** | 13个检测引擎中有2个报恶意软件 |

| 检出引擎 | ThreatBookLabs、CheckURL | 均标记为“恶意软件” |

| 钓鱼模型检测 | 未知 | 模型未检出，但情报已确认为恶意 |

 

### 2.3 关联恶意文件记录

 

该域名下存在历史恶意文件记录：

 

| 发现时间 | URL | SHA256 | 检出率 |

|----------|-----|--------|--------|

| 2026-03-19 | `http://kk9win.oss-cn-hongkong.aliyuncs.com` | `29b470e11f5b755e31c141e1cd95597ae689e3ea131cb680b0221cf54e509e33` | 2/13 |

| 2026-01-09 | `https://kk9win.oss-cn-hongkong.aliyuncs.com/dow/` | `93b19d038ab57cd9ed8065e97d3fd16f5b4b2614543a3698cfe1bb40530cc616` | 1/13 |

 

**分析结论**：该域名（`kk9win.oss-cn-hongkong.aliyuncs.com`）自2026年1月起就有恶意文件传播记录，是一个持续活跃的恶意软件分发源。

 

### 2.4 恶意软件行为分析

 

根据沙箱检测报告和行为特征，该恶意软件具备以下能力：

 

| 行为类型 | 具体描述 | 危害等级 |

|----------|----------|----------|

| 信息窃取 | 窃取浏览器保存的密码、Cookies、加密货币钱包 | 严重 |

| 浏览器劫持 | 监控上网行为、强制跳转钓鱼页面 | 严重 |

| 键盘记录 | 记录用户输入的所有内容（账号、密码、聊天内容） | 严重 |

| 远控后门 | 可能允许攻击者远程控制受害机器 | 严重 |

 

---

 

## 0x03 应急处置方案

 

### 3.1 如果已下载但未运行

 

1. 立即删除下载的 `.zip` 文件

2. 清空回收站

3. 运行杀毒软件扫描下载目录

4. 检查浏览器下载记录，确认没有其他可疑文件

 

### 3.2 如果已解压但未运行

 

1. 删除整个解压文件夹

2. 运行全盘杀毒扫描

3. 检查是否有文件关联被修改

 

### 3.3 如果已运行安装程序（最高风险）

 

请立即按顺序执行以下操作：

 

**第一步：全盘杀毒**

- Windows Defender：设置 → 隐私和安全性 → Windows安全中心 → 病毒和威胁防护 → 扫描选项 → 完全扫描

- 或使用第三方杀软（360、火绒、腾讯电脑管家等）进行全盘扫描

 

**第二步：修改密码**

- 修改所有重要账号密码（邮箱、社交软件、网银、DeepSeek等）

- 开启双重验证（手机验证码/身份验证器）

- 检查账号是否有异常登录记录

 

**第三步：检查系统异常**

- 任务管理器中查看CPU/内存占用是否异常升高

- 检查浏览器是否有陌生插件或主页被篡改

- 观察是否有不明弹窗或网络连接

 

### 3.4 长期安全建议

 

1. 仅从官方渠道使用DeepSeek（见下文）

2. 不轻信搜索引擎广告中的下载链接

3. 不下载来源不明的“.exe”或“.zip”文件

4. 保持杀毒软件实时防护开启

 

---

 

## 0x04 官方渠道确认

 

请务必认准以下官方渠道，**所有声称需要付费解锁、充值、获取内测资格的均为诈骗**：

 

| 使用方式 | 唯一官方渠道 |

|----------|--------------|

| 官方网站 | `deepseek.com` 或 `chat.deepseek.com` |

| 官方App | 苹果App Store、各大安卓手机官方应用商店 |

| 开发者信息 | 杭州深度求索人工智能基础技术研究有限公司 |

| 官方社交账号 | 微信公众号、小红书、X（Twitter）平台，认证账号为 `DeepSeek` |

 

**官方重要声明**：

1. DeepSeek官方服务（网页端、App端）**永久免费**

2. DeepSeek**从未推出过Windows或Mac电脑客户端**

3. 不存在“付费内测资格”、“充值解锁高级功能”等任何付费项目

 

---

 

## 0x05 核心安全准则

 

遇到可疑网站或文件，请记住以下判断标准：

 

| 判断维度 | 官方特征 | 可疑特征 |

|----------|----------|----------|

| 域名 | `deepseek.com` 或 `chat.deepseek.com` | 多字母、少字母、替换字母（如 `deepsek.com`、`deepseekem.com`） |

| 客户端 | 无电脑客户端 | 任何要求下载安装包的 |

| 收费 | 永久免费 | 任何要求付费的 |

| 下载渠道 | 官方应用商店 | 第三方网站、网盘、搜索引擎广告 |

| 备案信息 | 可通过工信部官网验证 | 盗用备案号或无备案 |

 

**一句话总结**：不是 `deepseek.com`，就不要输入任何信息；任何要求下载电脑客户端的，一律是木马。

 

---

 

## 0x06 参考资料与工具

 

| 工具/平台 | 用途 | 网址 |

|-----------|------|------|

| 工信部ICP备案查询 | 验证网站备案真实性 | `https://beian.miit.gov.cn` |

| 微步在线云沙箱 | 恶意文件/URL分析 | `https://s.threatbook.com` |

| VirusTotal | 多引擎病毒扫描 | `https://virustotal.com` |

| 奇安信威胁情报中心 | 威胁情报查询 | `https://ti.qianxin.com` |

| Joe Sandbox | 深度行为分析 | `https://joesandbox.com` |

 

---

 

## 0x07 总结

 

本文分析了一个利用DeepSeek热度进行传播的钓鱼攻击事件：

 

1. **钓鱼网站** `web.deepseekem.com` 通过仿冒域名、盗用备案号、抄袭页面设计来欺骗用户

2. **恶意文件** `DeepSeekV20.66-Setup.zip` 经沙箱检测确认为恶意软件，可窃取信息、劫持浏览器

3. **攻击源** `kk9win.oss-cn-hongkong.aliyuncs.com` 自2026年1月起持续传播恶意文件

4. **DeepSeek官方无电脑客户端、永久免费**，所有声称相反的均为诈骗

 

希望本文能帮助更多人识别此类钓鱼手法，避免财产和信息安全损失。

 

---

 

**本文为技术安全分享，欢迎转载。如发现类似可疑网站，建议通过微步在线等平台提交分析，并提醒身边人注意防范。**