Ich bin vor Kurzem auf Schadsoftware auf meinem Computer gestoßen, die den Hersteller meines Computers, den Hersteller der Festplatte und die Seriennummer sowie wahrscheinlich noch viele andere Dinge erfasst hat.
Die Malware installierte sich, glaube ich, zusammen mit einer Anwendung namens WINZIPPER, die WinRAR ersetzte. Bei der Installation änderte sich offensichtlich die Startseite in allen meinen (üblichen) Browsern und führte zunächst eine ausführbare Datei aus einem temporären Ordner aus, was allerdings nur einmal geschah. Anschließend fügte sie ihre URL zu den Startverknüpfungen aller meiner gängigen Browser hinzu, einschließlich einer Abfragezeichenfolge, die alle diese Informationen enthielt.
Beim Starten eines beliebigen Browsers wird die folgende URL hinzugefügt:
www.delta-homes.com/?type=<MyComputer'sMake>&ts=<ASerialNumber>&z=<AnotherLongRandomAlphanumericSerialNumber>&from=wpm<Number>&uid=<HardDriveMake+Serial>
Aus einer whoisSuche geht hervor, dass die delta-homes.comDomain registriert ist von
Peking ELEX Technology Co., Ltd.
der offenbar ein Spielehersteller in China ist.
Ich glaube, dass ich alle Infektionspunkte gefunden habe, nachdem ich alle oben genannten Informationen und alle Verweise auf diese URL in der Registrierung entfernt habe. Ich glaube jedoch, dass eine dieser Webanfragen erfolgreich gesendet wurde. Daher biete ich diese Informationen teilweise als durchsuchbare Referenz zum Wohle der Allgemeinheit an und teilweise, um zu fragen, welche weitere Gefahr oder Anfälligkeit für mich besteht, da Informationen gestohlen wurden.
- Wenn es sich um eine bekannte Infektion handelt, habe ich alle Infektionspunkte gefunden?
- Welchem weiteren Risiko gehe ich jetzt nach dem entstandenen Schaden nach?
Antwort1
Werbefirmen verdienen am meisten Geld, wenn sie Ihnen Anzeigen zeigen können, die für Sie relevant sind und auf die Sie mit höherer Wahrscheinlichkeit klicken. Daher besteht für solche Unternehmen – sowohl seriöse als auch unseriöse – ein großer Anreiz, Ihre Gewohnheiten zu verfolgen, damit sie wissen, was sie Ihnen zeigen müssen.
Wie in den Kommentaren erwähnt, sind die Seriennummer und Marke der Festplatte zusammen eine gute Möglichkeit, eine Maschine eindeutig zu identifizieren. Laufwerkshersteller tun ihr Bestes, um aus Garantiegründen eine Duplizierung der Seriennummer zu vermeiden. Die Informationen bleiben auch nach Neuinstallationen des Betriebssystems erhalten (nützlich für sie, wenn Sie erneut infiziert werden). Im Gegensatz zu Computernamen oder IP-Adressen ist es auch nicht besonders einfach, sie zu ändern oder zu fälschen.
Also ja, es ist eine Art Fingerabdruck. Ob Sie ihn vollständig entfernt haben, weiß niemand. Sobald auf Ihrem Computer schädliche Dinge laufen, ist es nicht mehr Ihr Computer. Am sichersten wäre eine Neuinstallation, aber wenn es wirklich nur Adware ist, sollte MalwareBytes sich darum kümmern. Das einzig Schlechte, was das Unternehmen mit der SN anstellen könnte, wäre, sie an andere zwielichtige Unternehmen weiterzugeben, aber abgesehen von der eindeutigen Identifizierung besteht hier kein Sicherheitsrisiko.