Perfil de amenaza del malware XMRig
¿Necesita pasos manuales de limpieza en Windows para el virus xmrig.exe, uso alto de CPU o una infección que vuelve después de eliminarla? Lea la guía de eliminación del virus XMRig.exe.
¿Por qué los atacantes eligen Monero?
Monero resulta atractivo para el minado con CPU y ofrece transacciones rápidas y más difíciles de rastrear. Para los atacantes, una red de equipos comprometidos puede generar beneficios constantes sin una gran infraestructura de GPU.
¿Cómo se propaga XMRig?
Las compilaciones maliciosas de XMRig suelen llegar mediante droppers, software crackeado, instaladores dudosos, falsas actualizaciones, adjuntos de correo o sistemas ya comprometidos. Como el código legítimo es abierto, diferentes grupos cambian fácilmente configuración, nombres de archivo y persistencia.
Análisis del minero XMRig
Tras ejecutarse, el malware suele desempaquetarse, colocar archivos en Temp, AppData o ProgramData y crear persistencia mediante tareas programadas, servicios o entradas de inicio. Después carga la configuración de minado, como pool, wallet y límite de CPU, desde infraestructura de control o desde una configuración incrustada.
/c schtasks /create /f /sc onlogon /rl highest /tn "svchost" /tr '"C:\Users\RDhJ0CNFevzX\AppData\Local\Temp\svchost.exe"' & exit
Efectos de un minero malicioso
El síntoma más visible es el uso alto de CPU, normalmente con ventiladores ruidosos, calor, lentitud y mayor consumo de batería. Portátiles y equipos mal refrigerados pueden sufrir throttling o inestabilidad. Para pasos prácticos de Windows sobre Modo seguro, tareas programadas, servicios y verificación posterior, use la guía enlazada.
Removedor de XMRig para Windows
Cuando se confirma actividad de XMRig, Gridinsoft Anti-Malware puede analizar el sistema Windows afectado, detectar componentes del minero, revisar persistencia sospechosa y eliminar amenazas confirmadas. Esta página mantiene el perfil técnico y los IoC; la guía del blog cubre la limpieza manual de Windows.
Cómo protegerse de XMRig
- Evite cracks, activadores e instaladores que pidan desactivar la protección.
- Revise nuevas entradas de inicio, servicios y tareas programadas después de instalar software desconocido.
- Mantenga Windows, navegadores y herramientas de seguridad actualizados.
- Ejecute un análisis completo de malware después de descargas sospechosas.
XMRig IoC
Estos indicadores son ejemplos observados en actividad maliciosa relacionada con XMRig. Revise los IoC junto con la telemetría local antes de bloquear de forma amplia: la infraestructura de minado cambia con frecuencia, mientras que los hashes siguen siendo útiles para triage de archivos y detección histórica.
SHA256
de5704d6579398a4b51f7458c105759c46096567661a26bffe1159ef11a16eb8 ea3eedc043d02375db791cd0d508259dede55a7cffa2f75f813d4e239aa5bf70 3c54646213638e7bd8d0538c28e414824f5eaf31faf19a40eec608179b1074f1 32b617dd0ea32902a18d93fe74b4a8865d23ec398666736ffcb4c4e9dfa9c6ec af421881786af65cf89b28d2a88d37658625f21f9644cf298c438267c7c92572 05e1988f56fe199f7e401c8f4d6ee50bb26ab34fb3f96c22de959c7e5f92de77 f63921129822475dd132a116b11312ebbb0cdc8b54f188aabeb7cf7a8c9065fd 95da91e0a3362fcfb23dd10b50dfb28af074ef11759be5cfd48854572773f989 621a9f892436647a492e3877502454d1783dc0cf4e4ba9f3f459a8c2ac7e6d97 f34fc824a6c655bd6320b7818acdad9a5a570b88dd46507fdf73cd254af9b19f
MD5
5906ac14bc45a1f39cb9eb790a1d3b27 0252b6575abd58fac21130cd75fc42a0 2a0d26b8b02bb2d17994d2a9a38d61db 52df19b9845a6da6197831525c7a1f01 5807efef92e20ffe074bbdc141cfbdad 6a292b8ab3ff79cefe5f8e42882885d2 22a9265676ffebc71d888f0c57af9fd1 47d02cfb4cdbccccbc35d082f5351dd1 e5e85cc9c86ad7362efc2255612db5c0 96c45411bcda48997ead1d0dd2aff484
IP addresses
| 145.14.144.136:443 | 94.130.165.85:443 | 142.93.172.227:1389 |
| 68.183.165.105:80 | 62.102.148.152:8618 | 159.89.182.117 |
| 51.250.28.5 | 150.60.139.51:80 | 79.134.225.39:6969 |
| 150.60.139.51 | 68.183.165.105 | 62.102.148.152 |