【战鹰预警】警惕xlv挖矿病毒传播

admin

今天给一台服务器做安全检测的时候发现CPU使用率高达100%
通过任务管理器查看发现一个名为systemxlv.exe的程序占用了近90%的CPU
结束掉之后恢复正常 但是关掉任务管理器后CPU使用率再次回到100%
打开此程序的本地文件后推测是一个新的挖矿病毒
而且拥有守护进程
如果挖矿程序被关闭
检测任务管理器是否打开
如果关闭 就再次启动
通过查找父进程指令查找到一个名为winxlv.exe的进程
结束winxlv.exe之后再结束systemxlv.exe后 CPU使用率恢复正常
且再无重复启动的现象
此服务器存在HFS提权漏洞 所以根据推测攻击者是通过HFS提权漏洞入侵后 传输并启动木马挖矿
（样本解压密码：www.zhanyingwl.com）