1、病毒现象
(1)、服务器存在卡顿现象。
(2)、Setring.exe运行了多个线程进行挖矿,监测到CPU占有率达到75%。
(3)、Setring.exe挖矿文件被释放在C:\Program Files (x86)\Microsoft MSBuild\Setring.exe,特意伪装成为了NVIDIA的文件(NVIDIA显卡市场覆盖极广,其文件一般会被认为是安全的),图标也是英伟达官方图标。
2、病毒处置
C:\Program Files\Microsoft MSBuild\Setring.exe
C:\Program Files (x86)\Microsoft MSBuild\Setring.exe
C:\Program Files\Windows Photo\Imaging.exe
C:\Program Files\Windows Photo\Sadats.dll
使用了第三方安全设备的用户,也可以通过封堵以下两个URL,进行防护:http://miner.gsbean.com/upload/Sadats.jpg、http://80.255.3.69/upload/Usdata.txt。
3、病毒详情
https://www.freebuf.com/articles/terminal/176936.html
