安全公司警告黑客假借破解版微软 Office / 金山 WPS 散播挖矿恶意木马 XMRig

2 月 25 日消息，安全公司 Trellix 发文，透露近期有黑客在网络上散布带有定制版 XMRig 恶意挖矿木马的破解版微软 Office / 金山 WPS 安装包，相应木马具有高感染性特点，提醒民众警惕。

Trellix 指出，此次 XMRig 变种木马将控制中枢伪装成 Explorer.exe，可在受害设备后台自动安装挖矿模块，同时持续监控挖矿进程是否被终止，即便挖矿进程被用户手动关闭，控制程序仍会重新拉起相关组件，大幅增加清除难度。

如果挖矿进程多次启动失败，控制程序甚至会尝试终止真正的 Windows Explorer 进程（C:\Windows\explorer.exe）。此时桌面和任务栏会消失，用户通常只能重新登录或重启系统，而这段时间恰好成为恶意程序重新注入并恢复运行的窗口。

同时，相应木马会在受害设备中加载存在漏洞的 WinRing0x64.sys 1.2.0 版本，相应版本存在 CVE-2020-14979 漏洞，允许黑客通过 IOCTL 接口发送指令，获取内核级权限，并对设备性能进行持续监控修改，从而提升挖矿性能。

安全公司强调，该木马具备类蠕虫传播能力，当检测到 USB 存储设备插入时，会自动复制自身到存储设备，并创建伪装的快捷方式文件诱导用户点击，即便感染设备未联网，也可能遭到黑客入侵。