這是一個(gè)新型的挖礦病毒，亞洲服務(wù)器租用 歐洲服務(wù)器，此挖礦病毒構(gòu)造復(fù)雜，善于偽裝，像影子般依附到系統(tǒng)環(huán)境。
目前該病毒已挖得3350個(gè)門羅幣，獲利約合人民幣268萬人民幣

我們云主機(jī)經(jīng)常看到的是最后生成的挖礦程序Wmi|ApSvr.exe,占用cpu100%,導(dǎo)致機(jī)房卡死，無法遠(yuǎn)程，網(wǎng)站無法打開等。

下圖是病毒的五個(gè)樣本，我們平時(shí)見到的是第四個(gè)挖礦程序。

病毒運(yùn)行原理：

夢(mèng)飛科技" src="http://oa.MFISP.com/kindeditor/attached/image/20180927/20180927211804_2828.jpg" />

處理方法：

[1] 結(jié)束進(jìn)程：WmiApSvr.exe、svchost.exe（注意是沒有父進(jìn)程的svchost.exe）。

[2] 刪除如下文件：

x1.exe

64.exe

C:WindowsMicrosoft.NETFrameworkspnet_wp.exe

C:Program FilesMSBuildServices.exe

C:Program FilesCommon FilesWmiApSvr.exe

[3] 刪除服務(wù)：clr_optimization_v3.0.50727_32、Services。