Это scvhost.bat с cryptonight вирус или майнер?

17

Я только что нашел этот .bat файл с именем scvhost.bat. Файл содержал это содержание:

scvhost -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8005 -u 48uh2mrdkdq2tQysfkX2hZDi2hkRua4GX13EqY8djJ5xNXhez7baztVWbwXa34vUMveKAzAiA4j8xgUi29TpKXpm42jqV6H.microSf -p MXXXXXX-t 02

Это вирус (для кражи информации и т. Д.) Или засаженный майнер? Я волнуюсь, поскольку я также балуюсь криптовалютами, и stratumэто валюта, которая упоминается в приведенном выше файле.

windows batch-file malware cryptomining NewbieProgrammer
источник
1
Это действительно кажется шахтером. Учитывая, что вы используете криптовалюты самостоятельно, если вы тоже мои, убедитесь, что это на самом деле не является частью того, что вы используете для майнинга. Вы можете сделать это, переименовав расширение .bat во что-то другое и посмотреть, сможете ли вы по-прежнему нормально копировать после перезагрузки. Одна вещь, которую я нахожу странной в этом файле, это то, что обычно он будет называть себя, учитывая, что scvhost - это и имя того, что он выполняет, и файл bat. Обычно это приводит к циклу.
LPChip
2
@VirtualAnomaly Я думаю, что вы ошиблись sVChost с sCVhost, упомянутым здесь. Да, я очень хорошо понимаю, что svchost - это механизм для хостинга.
LPChip
2
@LPChip Мои извинения, вы правы, я ошибся.
Виртуальная аномалия
2
Думаю, кто-то слишком много играл в Starcraft.
CodesInChaos
1
@lucidbrot SCV - это единица «строителя» одной из рас (терранов) игры, в этом случае это означает «Space Construction Vehicle».
Аарон

Ответы:

34

Похоже, это какой-то майнер, тем более что параметр содержит URL-адрес пула майнинга. Тем не менее, вы должны быть уверены, что в двоичном файле. Имеет смысл сравнить контрольные суммы найденного вами бинарного файла вашей системы с выпусками, сделанными командой разработчиков майнера. Если они отличаются; считаю вашу систему небезопасной.

Другая проблема заключается в том, что вы узнали об этом майнере (возможно, потому, что он использовал много процессора), но вы не представляете, что еще произошло в вашей системе. Если злоумышленник может запустить майнер, он мог бы запустить и другие вещи. Это может быть хорошей идеей для восстановления из резервной копии или в любом случае выполнить новую установку.

mtak
источник