挖矿木马是当前的主流安全威胁之一，花样繁多令人眼花繚乱，但之前从来没有出现敢怼杀毒软件的，最近出现一种xmrig挖矿木马，禁用22款主流杀毒软件且无法升级更新和重新安装——目前该挖矿木马已累计影响超5万台机器，高峰时在线4000台，已挖到76枚门罗币。
　　该挖矿木马通过伪装、捆绑的方式传播，例如伪装成装修视频、捆绑在窜改首页的广告软件中等，甚至出现在一些灰鸽子远程控制木马中，菜鸟黑客传播灰鸽子远程控制木马，却不知道灰鸽子远程控制木马成功激活后会联网会下载xmrig挖矿木马，自己在不知不觉中帮其他黑客传播了xmrig挖矿木马。另外，有的xmrig挖矿木马还具备干掉其他挖矿木马的能力，可以独自霸占受害者的电脑。
　　xmrig挖矿木马入侵成功后，会释放5个文件，通过这些文件控制受害者电脑并进行挖矿。释放fang.wmv、run.bat和Svchost.exe这三个文件到C：＼Windows＼debug 目录中，fang.wmv是一段装修视频，为了不引起受害者怀疑，木马启动后就会播放装修视频（有的变种是其他类型的视频）；run.bat负责安装木马守护服务Svchost.exe并传递相关挖矿参数，例如挖矿木马对CPU使用率限制为50%，不至于在挖矿木马工作时机器卡死，进而不易被察觉Svchost.exe的作用是监视挖矿木马进程，如果发现经常被终止会立即复活挖矿木马。
　　之后，挖矿木马再释放conhosts.exe和sd.reg这两个文件到C：＼ProgramData＼Temp目录中，sd.reg是一个注册表文件，双击运行后会窜改注册表将22款杀毒软件证书设置为不受系统信任，如此一来杀毒软件自身数字签名校验会失败，从而导致功能异常无法正常工作，就不能察觉挖矿木马干的坏事了；conhosts.exe就是一个挖矿程序，黑客挖门罗币就靠它了。
　　目前，主流杀毒软件已经注意到该挖矿木马，针对该挖矿木马及其变种的查杀力度也在加强，大家只要保证安全软件是正常的就可以抵御木马的攻击。