最近在做日常安全运维时发现某虚拟机CPU利用率异常的高，登录虚拟机发现，某进程占用了异常高的cpu使用率：

 

通过右键“打开文件所在的位置”：

 

打开2.bat文件，内容如下：

 

百度文件内容，发现为知名挖矿木马：

综合虚拟机cpu利用率异常高的现象即可判断该主机已被恶意利用为挖矿的肉机，其将互联网上“挖”到的门罗币汇入如下地址：

4AyP2DqMQVbgHrV2YeX9QATFAdHWpCj932GuqAo9uTHYFrAGTPtxpnn3bGzX5zdLZGUZF91LfRXueEQqZTZeBLuSNnqXUrf。

反编译systmss.exe文件，发现没有显式函数符号：

先通过常量字符串寻找一些蛛丝马迹：

 

检查注册表异常项，发现Systmss的控制路径和配置项：

由于虚拟机开放了互联网访问权限，导致该木马可以利用互联网资源挖掘门罗币。

根据整个事件的处置过程，对于后续处理和防范挖矿木马，有如下建议：

1、 强制终止systmss进程，并删除恶意文件目录；

2、 删除异常注册表项，即：

计算机\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Systemss\。

3、 关闭虚拟机不需要的互联网权限，即使开放权限也要合理控制，尽量开放单向、特定端口的权限；

4、 建立虚拟机cpu、内存使用率的自动化监控机制，有异常时能及时收到告警；

5、 拷贝文件到虚拟机之前进行病毒查杀。