当前位置：首页 > article >正文

别再只杀进程了！挖矿病毒XMRig的完整清除与溯源指南（附config.json钱包地址分析）

article 2026/4/2 14:05:34

深度对抗XMRig挖矿病毒从清除到溯源的实战手册发现任务管理器里反复出现的xmrig.exe进程别急着再次点击结束任务——这就像用创可贴处理骨折治标不治本。作为处理过数百起挖矿事件的安全工程师我总结了一套从内存清理到持久化分析再到攻击链还原的完整方案。本文将带您穿透表象直击XMRig这类加密货币挖矿病毒的七寸。1. 为什么简单的进程终止无效当您在任务管理器发现CPU占用率长期超过80%的xmrig.exe时第一反应可能是结束进程。但几分钟后它又像不死鸟一样复活了。这种死而复生现象背后是攻击者部署的多层持久化机制在作祟。典型的XMRig感染链包含三个关键组件挖矿主程序xmrig.exe或变种名负责消耗计算资源配置文件config.json包含矿池地址、钱包ID等关键信息守护脚本用于进程监控和自动重启的批处理/VBS脚本去年处理的某企业案例中攻击者甚至设置了五重复活机制计划任务每3分钟检查进程启动文件夹放置快捷方式注册表Run项添加启动WMI事件订阅配置服务项伪装成系统服务# 快速检查常见持久化位置 gci -Path C:\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Get-ScheduledTask | Where-Object {$_.TaskPath -notlike \Microsoft*} | Select-Object TaskName,TaskPath Get-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Get-WmiObject -Namespace root\Subscription -Class __EventFilter2. 精准识别从进程到样本的深度分析面对可疑进程专业做法是进行四维验证进程树分析使用Process Explorer查看父进程文件定位右键进程→打开文件位置哈希校验计算样本MD5/SHA1威胁情报比对通过VirusTotal等平台查询以xmrig.exe为例标准取证流程应该是# 获取进程完整路径 $proc Get-Process xmrig -ErrorAction SilentlyContinue if($proc) { $filePath $proc.Path # 计算哈希值 $hash (Get-FileHash -Path $filePath -Algorithm MD5).Hash.ToUpper() Write-Host [] 样本路径: $filePath Write-Host [] MD5哈希: $hash # 自动查询VirusTotal $vtResult Invoke-RestMethod -Uri https://www.virustotal.com/api/v3/files/$hash -Headers {x-apikeyYOUR_VT_KEY} $detectionRate $($vtResult.data.attributes.last_analysis_stats.malicious)/$($vtResult.data.attributes.last_analysis_stats.total) Write-Host [] VirusTotal检测率: $detectionRate }关键指标解读表指标类型正常值异常表现应对措施CPU使用率30% (闲置时)持续70%检查进程树网络连接已知合法IP连接矿池域名防火墙拦截文件位置System32等系统目录Temp/AppData提取样本数字签名有效签名无签名/伪造深度分析3. 斩草除根彻底清除持久化机制使用微软官方工具Autoruns时新手常犯两个错误只删除红色标记项忽略其他隐蔽项未关闭资源管理器就删除文件导致锁定推荐的操作流程以管理员身份运行Autoruns点击Options菜单勾选Verify Code Signatures勾选Check VirusTotal按CtrlF搜索关键词xmrigsystems.batpoolmine对可疑项先导出记录再删除对于高级隐藏技术需要检查这些容易被忽视的位置WMI持久化Get-WmiObject -Namespace root\Subscription -Class __EventFilter Get-WmiObject -Namespace root\Subscription -Class __EventConsumer Get-WmiObject -Namespace root\Subscription -Class __FilterToConsumerBinding服务 DLL 劫持HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服务名\Parameters\ServiceDllCOM 劫持HKEY_CURRENT_USER\Software\Classes\CLSID\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\4. 逆向工程解密config.json的战术价值标准的XMRig配置文件包含这些关键字段示例{ autosave: true, cpu: true, opencl: false, cuda: false, pools: [ { url: c3pool.org:13333, user: 4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y, pass: x, keepalive: true, tls: false } ] }通过矿池地址和钱包ID我们可以估算攻击收益在矿池网站查询钱包余额关联其他攻击同一钱包可能用于多个受害者追踪资金流向通过区块链浏览器监控转账实用查询命令# 查询Monero钱包交易记录 curl https://api.c3pool.com/wallet/4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y # 通过区块链浏览器查询 https://www.exploremonero.com/5. 防御升级从事件响应到主动防护清除病毒只是开始真正的安全需要三层防御体系第一层边界防御关闭不必要的RDP端口启用网络级认证(NLA)设置账户锁定策略第二层主机加固# 启用Windows Defender攻击面减少规则 Set-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionOnlyExclusions C:\Program Files\BusinessApp # 配置高级审计策略 auditpol /set /subcategory:Process Creation /success:enable /failure:enable第三层持续监控部署EDR解决方案建立基线行为档案设置CPU使用率告警某金融客户实施后的效果对比指标实施前实施后挖矿事件响应时间72小时15分钟横向移动成功率63%8%平均清除次数4.2次1次最后记住每次安全事件都是改进的机会。建议建立恶意样本库定期分析IOC并更新防护策略。我在自己的安全实验室维护着超过500个挖矿样本的数据库这对快速识别新变种至关重要。

别再只杀进程了！挖矿病毒XMRig的完整清除与溯源指南（附config.json钱包地址分析）

相关文章：

别再只杀进程了！挖矿病毒XMRig的完整清除与溯源指南（附config.json钱包地址分析）

EPSON RX8010SJ RTC与Nordic TWI实战：I2C通讯时序详解与避坑指南

终极指南：如何在Windows上安装和使用FlipIt翻页时钟屏保

芯片设计Signoff前必看！数字后端工程师的5大验证避坑清单（含CTS实战案例）

突破安卓HTTPS抓包困境：Xposed+JustTrustMe框架实战指南

实战演练：三种常见办公文档加密破解技巧（ZIP密码/ZIP伪加密/DOC密码）

Pikachu靶场实战：File Inclusion漏洞从入门到精通（附防御代码）

Harbor集成Trivy实现镜像安全扫描：从安装到离线环境配置全攻略

手把手教你用PassFab for Office 8.5.1找回遗忘的Word/Excel密码（保姆级图文教程）

从DCM到NII：医学影像数据处理中，为什么我劝你放弃保存回DCM格式？

实战演练企业级mysql环境搭建，快马平台生成电商项目配置全流程

ViPER4Windows终极修复指南：让Windows音效神器重获新生

别再让MATLAB并行池浪费你的内存！保姆级教程教你手动精准管理Parallel Pool

高效图像压缩：MozJPEG从入门到精通

终极指南：如何用 PHP Steam API 包轻松集成 Steam 游戏数据

AutoGPT失控事件：烧毁$1M云账单的灾难复盘

ARM开发板也能玩转电子相册？手把手教你用GEC6818和Linux驱动LCD屏

告别重复造轮子：用快马AI一键生成Unity高效开发工具与通用模块

DeepSeek R1的蒸馏为啥只做SFT不加RL？聊聊论文里没明说的权衡与社区机会

斯坦福+哈佛医学院：虚拟细胞图像生成基础模型

Windows DLL注入工具Xenos实战指南：问题解决与效能优化

Ubuntu 24.04 Noble Numbat 尝鲜记：用Docker搞定ROS 2 Humble开发环境（附镜像拉取与容器运行全流程）

从零到一：基于SkyWalking构建微服务可观测性实践

别再搞混了！Docker部署Redis Stack时，选redis/redis-stack还是redis/redis-stack-server？

MPU9250 I²C驱动库深度解析与嵌入式工程实践

别再死记硬背了！用‘借位法’5分钟搞定子网划分，网工面试必看

树莓派4B部署YOLOv5-Lite实战：从ONNX模型优化到实时检测性能调优

为什么你的Ubuntu实时内核编译失败了？PREEMPT_RT补丁的5个关键配置解析

Java实战：阿里云OSS文件操作工具类封装与优化

保姆级教程：PX4 EKF调参实战，手把手教你搞定Q、R矩阵（附避坑指南）