文章总结： 该文档介绍了一种利用盗版软件传播的蠕虫式XMRig挖矿攻击。攻击者利用BYOVD技术加载存在漏洞的合法驱动获取内核权限，通过修改CPU配置提升挖矿效率。恶意软件具备多阶段感染链、环形守护机制及时间触发自杀开关，并可通过U盘传播。该事件凸显了现代操作系统对已签名驱动过度信任的安全风险，建议加强驱动签名验证与终端防护。 综合评分： 82 文章分类： 恶意软件,漏洞分析,威胁情报,终端安全

蠕虫式XMRig挖矿攻击借BYOVD漏洞规避检测

胡金鱼 胡金鱼

嘶吼专业版

2026年3月11日 14:03 北京

一场具备蠕虫传播能力的加密货币劫持攻击，正通过盗版软件进行传播，利用BYOVD漏洞部署定制版XMRig挖矿程序。

研究人员发现，该攻击通过捆绑盗版软件传播，投放定制化XMRig挖矿木马。攻击借助BYOVD漏洞利用时间触发逻辑炸弹实现规避检测、最大化挖矿收益。其多阶段感染链以提升加密货币算力为核心，过程中常导致受感染系统运行不稳定。

该攻击通过盗版“付费”软件安装程序传播，释放基于XMRig的复杂挖矿木马。其核心是名为Explorer.exe的控制程序，该程序以持久化状态机形式运行，可通过命令行参数切换角色：安装器、守护程序、主动感染、清理程序。

据了解，Explorer.exe是整个感染流程的核心调度节点。在传统恶意软件设计中，功能通常被拆分为线性执行流程：下载器下载载荷、运行、退出。而Explorer.exe控制程序则以持久化状态机运行。

它根据运行时传入的命令行参数决定行为模式，使单个文件在感染生命周期中承担多种不同角色：安装程序、守护程序、载荷管理器、清理程序。

该恶意软件将控制逻辑（“大脑”）与载荷（“执行体”）分离，后者包括挖矿程序、守护程序以及用于获取内核权限的漏洞驱动（BYOVD）。

恶意软件滥用一款名为WinRing0x64.sys的合法但存在漏洞的驱动，该技术被称为BYOVD（自带漏洞驱动）。它无需创建恶意驱动，只需加载此老旧但已签名的驱动，即可获得内核级（Ring 0）权限。

获取权限后，它会修改特定 CPU 配置（型号专用寄存器），禁用干扰门罗币RandomX挖矿算法的硬件预取器。由于RandomX依赖随机内存访问，关闭这些功能可减少缓存冲突，将挖矿性能提升15%～50%。

各类载荷被内嵌在程序资源段中，经解压后以隐藏系统文件形式写入磁盘，并伪装成合法软件。

一套环形守护机制确保组件被终止后会互相重启，强行恢复挖矿，甚至会杀死正常的Windows资源管理器进程干扰用户操作。

该恶意软件内置时间触发自杀开关，截止时间为2025年12月23日，到期后将执行可控清理逻辑。

研究人员在sub_14000D180函数中发现了一个硬编码时间检测逻辑，充当“自杀开关”或“时间炸弹”。该机制获取系统本地时间，并与预设截止日期2025年12月23日对比：

·活跃阶段（2025年12月23日之前）：执行标准感染流程，安装持久化模块并启动挖矿。

·过期阶段（2025年12月23日之后）：表明该攻击并非长期持续运营，而是“发射后不管”的生命周期。时间点可能与租用的C2基础设施到期、加密货币市场预期变动（特别是门罗币难度调整），或计划切换新版本恶意软件有关。

该XMRig变种还包含蠕虫模块，可通过U盘传播，而非仅依靠手动下载。它通过Windows系统通知静默监听新插入的可移动设备，而非持续轮询扫描。

当U盘插入时，恶意软件会将自身explorer.exe复制到设备中，隐藏在文件夹内，并创建伪装成磁盘图标的恶意快捷方式。当该U盘在其他电脑上打开时，快捷方式即可执行恶意程序，实现进一步扩散。

恶意分子似乎先在小范围系统中测试感染链与持久化功能（包括名为“Barusu”的自杀开关），随后再扩大规模。

根据相关数据显示，曾有一个活跃节点以中等算力运行，2025年11月活动零星，12月8日起出现明显增长，表明新一轮投放或新感染节点被激活。

该攻击事件的发生正提醒人们，常规恶意软件仍在持续进化。攻击者将社会工程、伪装合法软件、蠕虫式传播、内核级漏洞利用结合，打造出高抗性、高效率的僵尸网络。尤其是BYOVD技术的使用，凸显出现代操作系统安全模型中的一个关键弱点：对已签名驱动的过度信任。

参考及来源：https://securityaffairs.com/188388/malware/wormable-xmrig-campaign-leverages-byovd-and-timed-kill-switch-for-stealth.html

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼 胡金鱼《蠕虫式XMRig挖矿攻击借BYOVD漏洞规避检测》