嘿,最近听说一个让人特别提心吊胆的事儿。安全公司Trellix给大伙儿提个醒,说黑客正在网上发破解版的微软 Office 或者金山 WPS 安装包,这东西里边藏着定制版的 XMRig 挖矿木马。特别要命的是,这次的 XMRig 病毒玩的花招那叫一个绝,它把控制中枢伪装成 Explorer.exe。这个过程有多隐蔽?你知道吧,就是在后台偷偷摸摸把挖矿模块安上去,而且它还会一直盯着挖矿进程看,哪怕你把它关了,它还会马上重新启动,清理起来简直像一场持久战。更让人恼火的是,如果它失败的次数多了,它甚至敢把你真正的 Windows Explorer 进程给关掉。这下可好了,你桌面上的图标全没了,任务栏也消失了。这个时候,原本的 Windows Explorer 就变成了空壳子,你只能重启电脑或者重新登录系统。但你猜怎么着?这个空隙期正好就是它趁机钻空子、重新复活的时候。 这种病毒真是无所不用其极,它还会给你的电脑加载一个有漏洞的 WinRing0x64.sys 1.2.0 版本。这里面有个 CVE-2020-14979 的漏洞能让黑客通过 IOCTL 接口给设备发命令,拿到内核级别的权限。他们拿着这个权限去干嘛呢?就是改设备性能设置、给它续命啊。这样一来电脑的算力就全被他们拿走了。 还有更吓人的是,它能跟 USB 设备沾上边。只要你往电脑上插了个U盘或者移动硬盘,这个病毒立马就会把自己复制进去。为了骗你点开它,它会弄个看起来跟正常文件一样的快捷方式放在你盘里。哪怕你的电脑没连网都没用,只要你用了那带有病毒的设备或者打开了那个伪装的快捷方式,你就中招了。这种传播方式真的很像以前那种电脑病毒一样可怕啊!大家一定要小心啊!