Gridinsoft Logo

XMRig 恶意软件威胁档案与清理工具

恶意 XMRig 挖矿活动的威胁档案:检测背景、感染行为、IoC 以及 Windows 清理工具。

  • 跳转到:
» XMRig
XMRig 恶意软件威胁档案

XMRig 恶意软件威胁档案

XMRig 原本是合法的 Monero 挖矿工具,但被篡改或重新打包的版本经常被攻击者用来滥用受感染电脑进行加密货币挖矿。本页聚焦 XMRig 的威胁档案、检测背景、IoC,以及用于清理已确认 XMRig 感染的 Gridinsoft 工具。
需要针对 xmrig.exe 病毒、高 CPU 占用或删除后又回来的感染执行手动 Windows 清理步骤? 阅读 XMRig.exe 病毒清理指南.

为什么攻击者选择 Monero?

Monero 适合基于 CPU 的挖矿,并且交易速度快、追踪难度更高。对攻击者来说,大量被入侵的设备可以持续产生收益,而不需要昂贵的 GPU 基础设施。

XMRig 如何传播?

恶意 XMRig 通常通过 dropper、破解软件、可疑安装器、假更新、邮件附件或已被入侵的系统传播。由于合法代码库是开源的,不同团伙可以轻松修改配置、文件名和持久化方式。

XMRig 挖矿程序分析

运行后,恶意程序通常会解包自身,将文件写入 Temp、AppData 或 ProgramData,并通过计划任务、服务或启动项建立持久化。随后它会加载矿池、钱包地址和 CPU 限制等挖矿配置,这些配置可能来自控制基础设施或内置配置。

/c schtasks /create /f /sc onlogon /rl highest /tn "svchost" /tr '"C:\Users\RDhJ0CNFevzX\AppData\Local\Temp\svchost.exe"' & exit

恶意挖矿程序的影响

最明显的症状是 CPU 占用过高,常伴随风扇噪音、发热、卡顿和电池消耗加快。笔记本或散热不佳的设备可能降频或变得不稳定。如需 Safe Mode、计划任务、服务和清理后检查等 Windows 实操步骤,请使用链接中的博客指南。

适用于 Windows 的 XMRig 清理工具

确认存在 XMRig 活动后,Gridinsoft Anti-Malware 可以扫描受影响的 Windows 系统,检测挖矿组件,检查可疑持久化项,并移除已确认的威胁。本页保留技术档案和 IoC;博客指南则覆盖手动 Windows 清理步骤。

使用 Gridinsoft XMRig 清理工具 检查 Windows 中的 恶意挖矿程序、评估可疑项目并移除已确认的威胁。如果这篇指南与您当前遇到的情况一致,请先从一次实用清理扫描开始。

下载 XMRig 清理工具

如何防范 XMRig

  • 避免使用要求关闭防护的破解软件、激活器和安装器。
  • 安装陌生软件后检查新的启动项、服务和计划任务。
  • 保持 Windows、浏览器和安全工具更新。
  • 对可疑下载执行完整恶意软件扫描。

XMRig IoC

这些指标是 XMRig 相关恶意活动中观察到的样本。大范围封锁前应结合本地遥测一起判断:挖矿基础设施经常变化,而 hashes 仍适合文件分流和历史检测。

SHA256
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MD5

5906ac14bc45a1f39cb9eb790a1d3b27
0252b6575abd58fac21130cd75fc42a0
2a0d26b8b02bb2d17994d2a9a38d61db
52df19b9845a6da6197831525c7a1f01
5807efef92e20ffe074bbdc141cfbdad
6a292b8ab3ff79cefe5f8e42882885d2
22a9265676ffebc71d888f0c57af9fd1
47d02cfb4cdbccccbc35d082f5351dd1
e5e85cc9c86ad7362efc2255612db5c0
96c45411bcda48997ead1d0dd2aff484

IP addresses

145.14.144.136:443 94.130.165.85:443 142.93.172.227:1389
68.183.165.105:80 62.102.148.152:8618 159.89.182.117
51.250.28.5 150.60.139.51:80 79.134.225.39:6969
150.60.139.51 68.183.165.105 62.102.148.152