奇安信最近发现，MyKings病毒团伙对其基础设施进行了更新。MyKings通过扫描互联网上的1433等端口成功入侵受害者主机之后，分段下载混淆PowerShell脚本与加密Dll文件，通过内存解密执行的方式感染受害主机MBR达到持久化目的。整个感染过程无文件落地，增加了对其检测与清理的难度。恶意载荷会清理其他挖矿进程、启动恶意服务传播自身，通过计划任务运行挖矿与远控程序，修改注册表、防火墙/IP安全策略、创建WMI后门程序。从ftp服务器下载文件并执行，运行PcShare远控木马与门罗币挖矿程序。