据安全研究人员在7月收集到的650个IoT恶意程序样本中，其中一个看似.gzip压缩文件，等待不知情的用户开启后感染系统。该压缩文件包含二进位文件、脚本程序和程序库，其中一个脚本程序可检查受害系统是否之前有感染过XMrig，另一个脚本程序可将旧版软件砍掉再安装最新版的XMrig v2.14.1，并在crontab文件中加入自己，以便未来受害者重启机器后仍然能执行。

　　值得注意的是，第一个脚本程序执行时也建立三个不同目录，分别包括x86 32bit或64bit格式的XMrig v2.14.1版本，有些二进位文件也会以普通的Unix公用程序命名如ps伪装，以便混入正常的程序表（process list）中。等最新版XMrig安装于英特尔系统后，便与其他ku程序一样，和外部C&C服务器通过port 22端口建立SSH连线以获取指令。

　　而这也是继ARM及MIPS架构服务器之后，安全界发现骇客开始染指Intel CPU的服务器。研究人员警告，网路歹徒仍会持续设法从未设防的系统上ku敛财，因此他提醒系统管理员尽早修补漏洞、关闭不安全的服务，并采用强密码、双因素验证及适当的弱点补救方案，以减少沦为ku肉鸡的机会。