防毒公司近日發現一個挖礦病毒，此病毒使用多種感染方式，散播門羅幣挖礦程式到眾多的系統。該挖礦病毒在今年初於中國現身，最初的感染方式是用弱密碼及pass-the-hash（傳遞雜湊）技術、利用Windows管理工具及公開原始碼的暴力破解工具進行攻擊。後來在日本發現的新案例會利用EternalBlue（永恆之藍）漏洞攻擊及使用PowerShell入侵系統並躲避偵測。後來此殭屍網路擴展到台灣、日本、香港、越南、印度及澳洲等地。

這個惡意程式非常複雜，專門設計成能夠感染更多電腦，而且不會馬上被偵測。它會利用電腦系統和資料庫的弱密碼，針對企業可能仍在使用的老舊軟體，使用會在記憶體內下載和執行組件的PowerShell腳本，攻擊未修補的資安漏洞以及使用Windows的啟動資料夾和排程工作進行安裝。

此惡意程式主要散播方式是利用弱密碼登入連接網路的電腦，它不會直接將自己複製到連接的系統，而是透過遠端命令來變更中毒電腦的防火牆和通訊埠轉發設定，建立排程下載並執行更新的惡意程式。如果用戶使用較強的密碼，則惡意程式會嘗試利用EternalBlue（永恆之藍）安全弱點進行散播。

此惡意程式所用的門羅幣採礦程式也是透過PowerShell部署，但並不儲存在檔案裡，而是用另一個公開程式碼Invoke-ReflectivePEInjection來注入自己的PowerShell程序。安裝後，惡意程式會將其狀態回報給遠端的C&C伺服器並進行挖礦。