蠕虫式XMRig挖矿攻击：盗版软件 + BYOVD + 时间炸弹，新型加密货币劫持威胁来袭

一场具备蠕虫传播能力的加密货币劫持攻击正通过盗版软件广泛传播。该攻击利用BYOVD（Bring Your Own Vulnerable Driver）漏洞部署定制版XMRig挖矿程序，多阶段感染链以最大化门罗币（Monero）算力为核心，常导致受感染系统运行不稳定。

攻击者将社会工程、合法驱动滥用、持久化状态机和USB蠕虫传播相结合，打造出高隐蔽性、高效率的僵尸网络，凸显现代操作系统对已签名驱动的信任风险。

传播与核心组件：Explorer.exe状态机

该恶意软件主要通过捆绑在盗版“付费”软件安装程序中传播，释放基于XMRig的复杂挖矿木马。

其核心是名为Explorer.exe的控制程序。该程序以持久化状态机形式运行，根据命令行参数动态切换角色：安装器、守护程序、主动感染模块或清理程序。这种设计不同于传统线性恶意软件（下载器 → 执行 → 退出），极大增强了灵活性和抗分析能力。

BYOVD内核级优化：性能提升15-50%

恶意软件将控制逻辑（“大脑”）与执行载荷分离，后者包括挖矿程序、守护程序和漏洞驱动。

它滥用合法但存在漏洞的驱动WinRing0x64.sys（CVE-2020-14979），通过BYOVD技术无需创建恶意驱动即可获得内核级（Ring 0）权限。

获取权限后，恶意软件修改特定CPU型号专用寄存器（MSR），禁用干扰RandomX挖矿算法的硬件预取器。由于RandomX高度依赖随机内存访问，这一优化可显著减少缓存冲突，将挖矿性能提升15%～50%。

各类载荷内嵌在程序资源段中，解压后以隐藏系统文件形式写入磁盘，并伪装成合法软件。一套环形守护机制确保组件被终止后互相重启，甚至会杀死Windows资源管理器进程干扰用户操作。

蠕虫传播能力：USB静默扩散

该XMRig变种内置蠕虫模块，可通过U盘在空气隔离环境中传播。它利用Windows系统通知静默监听新插入的可移动设备，而非持续扫描。

当U盘插入时，恶意软件将Explorer.exe复制到设备隐藏文件夹中，并创建伪装成磁盘图标的恶意快捷方式。用户在其他电脑上打开U盘时，快捷方式即可触发执行，实现进一步扩散。

时间炸弹与清理机制

恶意软件内置时间触发自杀开关，截止日期为2025年12月23日。研究人员在sub_14000D180函数中发现硬编码时间检测逻辑：

• 活跃阶段（截止日期前）：执行完整感染流程，安装持久化模块并启动挖矿。
• 过期阶段（截止日期后）：触发“Barusu”清理逻辑，终止所有组件并删除痕迹。

这一机制表明攻击并非长期运营，可能与C2基础设施租期、Monero难度调整或切换新变种有关。活动数据显示，2025年11月零星出现，12月8日起明显增长，暗示新一轮投放。

安全启示

此次攻击事件提醒我们，常规恶意软件仍在持续进化。攻击者将社会工程、伪装合法软件、蠕虫传播与BYOVD内核利用相结合，打造出高抗性僵尸网络。

BYOVD技术尤其凸显了操作系统安全模型中的关键弱点：对已签名驱动的过度信任。安全团队应加强驱动加载监控、USB设备管控，并对盗版软件保持高度警惕。