近日，安全公司Trellix披露，黑客正通过破解版微软Office和金山WPS安装包分发定制化XMRig挖矿木马。该木马将控制程序伪装为Explorer.exe，具备进程自恢复、内核提权（利用CVE-2020-14979漏洞）及USB蠕虫式传播能力。一旦感染，即使用户手动终止挖矿进程，程序也会重启；多次失败后更会终止真实explorer.exe导致桌面消失，借机重载恶意模块。木马还加载存在漏洞的WinRing0x64.sys驱动以获取内核权限，持续监控并优化挖矿性能。安全专家提醒用户切勿下载来源不明的办公软件破解包。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。