
最近、私のコンピューターでマルウェアに遭遇しました。このマルウェアは、コンピューターのメーカー、ハードドライブのメーカー、シリアル番号、その他多くの情報を収集しました。
マルウェアは、WinRAR に代わる WINZIPPER というアプリケーションと一緒にインストールされました。インストールによって、すべての (一般的な) ブラウザのスタートアップ ページが変更され、最初は一時フォルダから実行ファイルが実行されるという明らかな動作が行われました (ただし、これは 1 回限りです)。次に、すべての一般的なブラウザのスタートアップ ショートカットにその URL が追加され、その情報をすべて含むクエリ文字列も追加されました。
いずれかのブラウザを起動すると、次の URL が追加されます。
www.delta-homes.com/?type=<MyComputer'sMake>&ts=<ASerialNumber>&z=<AnotherLongRandomAlphanumericSerialNumber>&from=wpm<Number>&uid=<HardDriveMake+Serial>
検索してみるとwhois
、このdelta-homes.com
ドメインは
北京エレックステクノロジー株式会社
中国のゲームメーカーと思われる。
上記のすべてと、レジストリ内のその URL へのすべての参照を削除することで、感染ポイントをすべて見つけたと考えています。ただし、これらの Web リクエストの 1 つは正常に送信されたと思います。そのため、この情報を公共の利益のために検索可能な参照として提供し、また、情報が盗まれたことで、さらにどのような危険や脆弱性が生じるかを尋ねるためにも、この情報を提供します。
- これが既知の感染である場合、感染ポイントをすべて見つけましたか?
- 被害が出た今、私はさらにどのような危険にさらされているのでしょうか?
答え1
広告会社は、ユーザーにとって関連性が高く、クリックされる可能性の高い広告を表示できる場合に最も多くの収益を得られます。したがって、そのような会社(合法的なものも怪しいものも含む)にとって、何を表示すべきかを知るためにユーザーの習慣を追跡する大きな動機があります。
コメントで述べたように、ハード ドライブのシリアル番号とブランドを組み合わせると、マシンを一意に識別するのに最適です。ドライブ製造元は、保証管理の目的で、シリアル番号の重複を避けるよう最善を尽くしています。この情報は、OS の再インストール後も保持されます (再感染した場合に役立ちます)。また、コンピューター名や IP アドレスとは異なり、変更や偽造が特に容易ではありません。
そうです、これは一種のフィンガープリンティングです。完全に削除したかどうかは誰にもわかりません。コンピュータ上で悪質なものが実行されると、それはもはやあなたのコンピュータではありません。最も安全なのは再インストールですが、本当にアドウェアだけであれば、MalwareBytes が対処してくれるはずです。企業が SN を使ってできる唯一の悪事は、それを他の怪しい企業に渡すことですが、繰り返しますが、一意の識別以外にはセキュリティ上のリスクはありません。