Este arquivo scvhost.bat com cryptonight é um vírus ou minerador?

17

Acabei de encontrar este arquivo .bat chamado scvhost.bat. O arquivo tinha este conteúdo:

scvhost -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8005 -u 48uh2mrdkdq2tQysfkX2hZDi2hkRua4GX13EqY8djJ5xNXhez7baztVWbwXa34vUMveKAzAiA4j8xgUi29TpKXpm42jqV6H.microSf -p MXXXXXX-t 02

Isso é um vírus (para roubar informações, etc.) ou um mineiro plantado? Estou preocupado, pois também mexo em moedas criptografadas e stratumé uma moeda mencionada no arquivo acima.

windows batch-file malware cryptomining NewbieProgrammer
fonte
1
Isso de fato parece ser um mineiro. Dado que você também usa moedas criptográficas, se você também possui, certifique-se de que isso não faça parte do que você usa para minerar. Você pode fazer isso renomeando a extensão .bat para outra coisa e ver se você ainda pode normalmente usar a minha após uma reinicialização. Uma coisa que acho estranho nesse arquivo é que normalmente ele se chamaria, já que scvhost é o nome do que ele executa e o arquivo bat. Normalmente, isso resultaria em um loop.
LPChip
2
@VirtualAnomaly Acho que você confundiu o sVChost com o sCVhost mencionado aqui. Sim, estou ciente de que o svchost é o mecanismo para hospedagem de serviços.
LPChip
2
@LPChip Minhas desculpas, você está correto, eu estava enganado.
Anomalia virtual
2
Alguém jogou muito Starcraft, eu acho.
CodesInChaos 16/01
1
Os SCVs do @lucidbrot são a unidade "construtora" de uma das corridas do jogo (terrans); nesse caso, significa "Veículo de construção espacial".
Aaron

Respostas:

34

Parece ser um minerador de algum tipo, especialmente porque o parâmetro contém o URL para um pool de mineração. No entanto, você precisa ter certeza do que está no binário. Seria bom comparar somas de verificação do binário encontrado no seu sistema com as liberações feitas pela equipe de desenvolvimento do mineiro. Se eles diferem; considere seu sistema inseguro.

Outra questão é que você descobriu esse mineiro (provavelmente porque estava usando muita CPU), mas não faz ideia do que mais aconteceu no seu sistema. Se um invasor pudesse lançar o mineiro, ele também poderia ter lançado outras coisas. Pode ser uma boa ideia recuperar do backup ou fazer uma nova instalação de qualquer maneira.

mtak
fonte