Profil de menace du malware XMRig
Besoin d’étapes manuelles de nettoyage Windows pour le virus xmrig.exe, une utilisation CPU élevée ou une infection qui revient après suppression ? Consultez le guide de suppression du virus XMRig.exe.
Pourquoi les attaquants choisissent Monero ?
Monero est adapté au minage basé sur le CPU et propose des transactions rapides, plus difficiles à suivre. Pour les attaquants, de nombreux appareils compromis peuvent produire des gains réguliers sans infrastructure GPU coûteuse.
Comment XMRig se propage ?
Les builds XMRig malveillants arrivent souvent via des droppers, des logiciels crackés, des installateurs douteux, de fausses mises à jour, des pièces jointes ou des systèmes déjà compromis. Comme la base légitime est open source, différents groupes changent facilement la configuration, les noms de fichiers et la persistance.
Analyse du mineur XMRig
Après l’exécution, le malware se dépaquette souvent, écrit des fichiers dans Temp, AppData ou ProgramData, puis crée une persistance avec des tâches planifiées, des services ou des entrées de démarrage. Il charge ensuite les paramètres de minage, comme le pool, le wallet et la limite CPU, depuis une infrastructure de contrôle ou une configuration intégrée.
/c schtasks /create /f /sc onlogon /rl highest /tn "svchost" /tr '"C:\Users\RDhJ0CNFevzX\AppData\Local\Temp\svchost.exe"' & exit
Effets d’un mineur malveillant
Le symptôme le plus visible est une forte utilisation du CPU, souvent accompagnée de ventilateurs bruyants, de chaleur, de lenteurs et d’une batterie qui se vide plus vite. Les ordinateurs portables ou mal refroidis peuvent ralentir fortement ou devenir instables. Pour les étapes pratiques Windows concernant le mode sans échec, les tâches planifiées, les services et la vérification finale, utilisez le guide lié.
Suppresseur XMRig pour Windows
Lorsqu’une activité XMRig est confirmée, Gridinsoft Anti-Malware peut analyser le système Windows touché, détecter les composants du mineur, vérifier les éléments de persistance suspects et supprimer les menaces confirmées. Cette page conserve le profil technique et les IoC; le guide du blog couvre le nettoyage manuel de Windows.
Comment se protéger de XMRig
- Évitez les cracks, activateurs et installateurs qui demandent de désactiver la protection.
- Vérifiez les nouveaux éléments de démarrage, services et tâches planifiées après l’installation d’un logiciel inconnu.
- Gardez Windows, les navigateurs et les outils de sécurité à jour.
- Lancez une analyse complète après tout téléchargement suspect.
XMRig IoC
Ces indicateurs sont des exemples observés dans des activités malveillantes liées à XMRig. Examinez-les avec la télémétrie locale avant tout blocage large : l’infrastructure des mineurs change souvent, tandis que les hashes restent utiles pour le triage de fichiers et la détection historique.
SHA256
de5704d6579398a4b51f7458c105759c46096567661a26bffe1159ef11a16eb8 ea3eedc043d02375db791cd0d508259dede55a7cffa2f75f813d4e239aa5bf70 3c54646213638e7bd8d0538c28e414824f5eaf31faf19a40eec608179b1074f1 32b617dd0ea32902a18d93fe74b4a8865d23ec398666736ffcb4c4e9dfa9c6ec af421881786af65cf89b28d2a88d37658625f21f9644cf298c438267c7c92572 05e1988f56fe199f7e401c8f4d6ee50bb26ab34fb3f96c22de959c7e5f92de77 f63921129822475dd132a116b11312ebbb0cdc8b54f188aabeb7cf7a8c9065fd 95da91e0a3362fcfb23dd10b50dfb28af074ef11759be5cfd48854572773f989 621a9f892436647a492e3877502454d1783dc0cf4e4ba9f3f459a8c2ac7e6d97 f34fc824a6c655bd6320b7818acdad9a5a570b88dd46507fdf73cd254af9b19f
MD5
5906ac14bc45a1f39cb9eb790a1d3b27 0252b6575abd58fac21130cd75fc42a0 2a0d26b8b02bb2d17994d2a9a38d61db 52df19b9845a6da6197831525c7a1f01 5807efef92e20ffe074bbdc141cfbdad 6a292b8ab3ff79cefe5f8e42882885d2 22a9265676ffebc71d888f0c57af9fd1 47d02cfb4cdbccccbc35d082f5351dd1 e5e85cc9c86ad7362efc2255612db5c0 96c45411bcda48997ead1d0dd2aff484
IP addresses
| 145.14.144.136:443 | 94.130.165.85:443 | 142.93.172.227:1389 |
| 68.183.165.105:80 | 62.102.148.152:8618 | 159.89.182.117 |
| 51.250.28.5 | 150.60.139.51:80 | 79.134.225.39:6969 |
| 150.60.139.51 | 68.183.165.105 | 62.102.148.152 |