WPS 下载避坑指南？

搜索“WPS 下载”，点进一个看起来很正规的网站，下载安装包，双击安装……然后电脑右下角开始弹广告，浏览器主页被改了，甚至电脑越来越卡。这不是你的问题，而是第三方下载站的“常规操作”。更可怕的是，2026 年 2 月，安全公司发现有不法分子散布带有 XMRig 恶意挖矿木马的破解版 WPS 安装包，一旦中招，电脑就被黑客控制去“挖矿”。

假冒 WPS 下载站的常见套路

域名伪装与克隆页面

钓鱼网站会使用各种伪装来迷惑用户。它们可能在域名上做手脚，例如使用近似域名，或是在官方域名中添加额外字符。

假冒网站不仅仿冒域名，还会克隆官网的页面设计，从配色到排版都做得非常相似。普通用户很难一眼分辨真假。这些网站整个页面只有下载按钮是可以点的，其他链接都无法返回主页。

弹窗广告与诱导下载

进入假冒 WPS 下载站后，满屏都是花花绿绿的“高速下载”“安全下载”“立即下载”按钮。你点击任何按钮，下载回来的往往不是 WPS，而是一个“下载器”或“软件管家”。运行这个下载器后，电脑会被偷偷装上浏览器插件、电脑管家、输入法等其他软件。WPS 反而没有被安装，或者被安装的是版本陈旧的“绿色版”。

“破解版”“绿色版”的诱惑

有些下载站提供所谓的“WPS 破解版”“专业版免激活”“绿色免安装版”，声称可以免费使用所有会员功能。2026 年 2 月，安全公司 Trellix 发文揭露，有不法分子在网络上散布带有定制版 XMRig 恶意挖矿木马的破解版 WPS 安装包。直接下载和使用 WPS Office 第三方修改版（破解版/绿色版）存在明确且严重的风险，包括法律侵权、恶意软件感染、数据泄露、功能不稳定及无法获得官方支持与更新。

恶意挖矿木马的真实案例

XMRig 木马的技术手段

2026 年 2 月，安全公司发现有不法分子散布带有 XMRig 恶意挖矿木马的破解版 WPS 安装包。相应木马具有高感染性特点，将控制中枢伪装成 Explorer.exe，可在受害设备后台自动安装挖矿模块，同时持续监控挖矿进程是否被终止。

更棘手的是，即便挖矿进程被用户手动关闭，控制程序仍会重新拉起相关组件，大幅增加清除难度。如果挖矿进程多次启动失败，控制程序甚至会尝试终止真正的 Windows Explorer 进程。此时桌面和任务栏会消失，用户通常只能重新登录或重启系统，而这段时间恰好成为恶意程序重新注入并恢复运行的窗口。

内核级权限获取与设备控制

该木马会在受害设备中加载存在漏洞的 WinRing0x64.sys 1.2.0 版本，该版本存在 CVE-2020-14979 漏洞，允许黑客通过 IOCTL 接口发送指令，获取内核级权限，并对设备性能进行持续监控修改，从而提升挖矿性能。这意味着黑客可以完全控制你的电脑，窃取文件、监控键盘输入、访问浏览器保存的密码。

USB 传播能力

该木马具备类蠕虫传播能力，当检测到 USB 存储设备插入时，会自动复制自身到存储设备，并创建伪装的快捷方式文件诱导用户点击，即便感染设备未联网，也可能遭到黑客入侵。这意味着一个感染木马的 U 盘插入一台干净的电脑，木马就会自动传播。

官方渠道的正版保障

官网直接下载最安全

最直接的访问方式是手动输入 WPS 的官方域名。进到官网之后，首页便能见到大大的“免费下载”按钮。官方下载器体积微小，仅有几兆，双击运行后会自行下载完整的安装包，此过程中不会强制安装任何第三方软件，整个过程清晰可控。

应用商店下载也可靠

除了官方网站，各大应用商店也属于可信赖的选择。微软自带的 Store、联想应用商店、360 软件管家等平台上的 WPS 均经过审核，安全有保障。尤其建议对电脑操作不太熟悉的朋友优先考虑从应用商店下载，因为安装过程更简单，卸载也更彻底，不用担心残留文件。

验证数字签名

下载完成后，可以在文件属性中查看安装包的数字签名。正版安装包应有明确的数字签名，签名者应为“Kingsoft Corporation”或“北京金山办公软件股份有限公司”。如果没有数字签名，或签名者不是金山办公，说明这个安装包来源可疑，不要安装。

安装过程中的避坑技巧

选择自定义安装

在安装 WPS 之际，强烈建议选择“自定义安装”，不要直接点“一键安装”。在自定义安装界面中，你可以自由选择软件的安装路径，避免将程序安装在 C 盘占用系统空间。更重要的是，你可以取消那些并不需要的附加选项，如 WPS 网盘同步、PDF 转换插件等。官方版本默认情况下不会自动开通会员，也不会暗自扣费，所有收费功能都会有明确提示，需你手动确认才会生效。

取消默认打开方式的自动关联

安装过程中可能会弹出“是否设置为默认打开方式”的提示。如果你平时主要用 WPS，勾选上会更方便；如果你同时还需使用其他办公软件，可以先不勾选，等有需求时再去设置里手动关联。

安装后检查

安装完毕后，建议立即打开软件，进入设置中心，将自动更新调节为“手动检查”，以防在关键时刻自动重启升级。同时检查是否有异常进程在后台运行，如发现陌生进程或 CPU 占用异常，使用杀毒软件扫描。

如果已经中招了怎么办

立即断开网络

如果怀疑电脑已经安装了恶意 WPS 版本，第一步是立即断开网络（拔网线或关闭 Wi-Fi），防止木马进一步下载恶意组件或窃取数据。

使用杀毒软件全盘扫描

运行 360 安全卫士、火绒、Windows Defender 等杀毒软件，进行全盘扫描。特别注意 XMRig 木马会将控制中枢伪装成 Explorer.exe，清除难度较大。木马会在受害设备中加载存在漏洞的 WinRing0x64.sys 1.2.0 版本。如果常规杀毒无法清除，可以尝试使用专业的木马查杀工具。

彻底卸载后从官网重装

从控制面板卸载可疑版本的 WPS，卸载时勾选“删除用户配置文件”。然后运行 WPS 清理注册表工具，将残留的注册表项清除干净。最后从 WPS 官网重新下载安装官方版本。

修改重要密码

如果木马可能已经获取了内核级权限，建议修改电脑上保存的所有重要密码，包括邮箱、社交账号、网银密码等。同时检查是否有异常登录记录。

总结

WPS 下载的安全问题，归根结底是一个“渠道信任”的问题。下载官方安装包，是确保安全的第一步。钓鱼网站的常见陷阱包括域名伪装克隆页面、诱导下载、弹窗广告。2026 年最新威胁是带有 XMRig 挖矿木马的破解版安装包，木马具备内核级权限获取、进程自恢复和 USB 传播能力。官方渠道包括官网和应用商店，安装包有明确的数字签名。安装时务必选择自定义安装，取消不需要的附加组件。如果不幸中招，立即断网、全盘扫描、彻底卸载后从官网重装。安全下载，从认准官网开始。