病毒现象
- 服务器存在卡顿现象。
- Setring.exe运行了多个线程进行挖矿,监测到CPU占有率达到75%。
- Setring.exe挖矿文件被释放在C:\Program Files (x86)\Microsoft MSBuild\Setring.exe,特意伪装成为了NVIDIA的文件(NVIDIA显卡市场覆盖极广,其文件一般会被认为是安全的),图标也是英伟达官方图标。
病毒处置
- C:\Program Files\Microsoft MSBuild\Setring.exe
- C:\Program Files (x86)\Microsoft MSBuild\Setring.exe
- C:\Program Files\Windows Photo\Imaging.exe
- C:\Program Files\Windows Photo\Sadats.dll
- 使用了第三方安全设备的用户,也可以通过封堵以下两个URL,进行防护:http://miner.gsbean.com/upload/Sadats.jpg、http://80.255.3.69/upload/Usdata.txt。