Recientemente me encontré con un malware en mi computadora que recopiló la marca de mi computadora, la marca del disco duro y el número de serie, junto con probablemente muchas otras cosas.
El malware se instaló solo junto con, creo, una aplicación llamada WINZIPPER que reemplazó a WinRAR. Su instalación hizo las cosas obvias de cambiar la página de inicio en todos mis navegadores (comunes), e inicialmente ejecutó un ejecutable desde una carpeta temporal, aunque esto fue solo una vez. Luego agregó su URL a los accesos directos de inicio de todos mis navegadores comunes, incluida una cadena de consulta que contiene toda esa información.
Al iniciar cualquiera de los navegadores, agregaría esta URL:
www.delta-homes.com/?type=<MyComputer'sMake>&ts=<ASerialNumber>&z=<AnotherLongRandomAlphanumericSerialNumber>&from=wpm<Number>&uid=<HardDriveMake+Serial>
A partir de una whoisbúsqueda, el delta-homes.comdominio queda registrado por
Beijing ELEX Tecnología Co., Ltd.
quien parece ser un fabricante de juegos en China.
Al eliminar todo lo anterior y todas las referencias a esa URL en el registro, creo que he encontrado todos los puntos de infección. Aunque creo que una de estas solicitudes web se envió con éxito, en parte ofrezco esta información como una referencia de búsqueda para el bien común, y en parte para preguntar qué peligro o vulnerabilidad adicional tengo ahora que la información ha sido robada.
- Si se trata de una infección conocida, ¿he encontrado todos los puntos de infección?
- Con el daño hecho, ¿qué riesgo adicional corro ahora?
Respuesta1
Las empresas de publicidad ganan más dinero cuando pueden mostrarle anuncios que son relevantes para usted y en los que es más probable que haga clic. Por lo tanto, existe un gran incentivo para que dichas empresas (tanto legítimas como turbias) realicen un seguimiento de sus hábitos para saber qué mostrar.
Como se menciona en los comentarios, el número de serie del disco duro y la marca juntos son una excelente manera de identificar de manera única una máquina. Los fabricantes de unidades, a efectos de gestión de garantía, hacen todo lo posible para evitar la duplicación de SN. La información persistiría durante las reinstalaciones del sistema operativo (lo cual será útil para ellos si vuelve a infectarse). Tampoco es particularmente fácil de cambiar o falsificar, a diferencia del nombre de la computadora o la dirección IP.
Entonces sí, es un tipo de toma de huellas dactilares. En cuanto a si lo eliminaste por completo, quién sabe. Una vez que se ejecutan cosas malas en su computadora, ya no es su computadora. La apuesta más segura sería volver a instalarlo, pero si en realidad solo se trata de adware, MalwareBytes debería encargarse de ello. Lo único malo que la empresa podría hacer con el SN es dárselo a otras empresas turbias, pero nuevamente, no existe ningún riesgo de seguridad más que la identificación única.