나는 최근 내 컴퓨터 제조사, 하드 드라이브 제조사, 일련 번호 및 기타 여러 정보를 수집하는 악성 코드를 발견했습니다.
악성 코드는 WinRAR을 대체하는 WINZIPPER라는 애플리케이션과 함께 자동으로 설치되었습니다. 설치하면 내 모든 (일반) 브라우저에서 시작 페이지를 변경하는 명백한 작업이 수행되었으며 처음에는 임시 폴더에서 실행 파일을 실행했지만 이는 한 번만 수행되었습니다. 그런 다음 모든 정보가 포함된 쿼리 문자열을 포함하여 모든 일반 브라우저의 시작 바로 가기에 해당 URL을 추가했습니다.
브라우저를 시작하면 다음 URL이 추가됩니다.
www.delta-homes.com/?type=<MyComputer'sMake>&ts=<ASerialNumber>&z=<AnotherLongRandomAlphanumericSerialNumber>&from=wpm<Number>&uid=<HardDriveMake+Serial>
whois검색을 통해 delta-homes.com도메인이 등록되었습니다.
베이징 ELEX 기술 유한 회사
중국의 게임 제작자인 것 같습니다.
위의 모든 내용과 해당 URL에 대한 모든 참조를 레지스트리에서 제거함으로써 모든 감염 지점을 발견했다고 생각합니다. 이러한 웹 요청 중 하나가 성공적으로 전송되었다고 생각하지만 부분적으로는 이 정보를 공익을 위한 검색 가능한 참조로 제공하고 부분적으로는 정보가 도난당했기 때문에 어떤 추가 위험이나 취약성이 있는지 묻고자 합니다.
- 알려진 감염인 경우 감염 지점을 모두 찾았습니까?
- 피해가 발생하면 이제 어떤 위험이 더 발생합니까?
답변1
광고 회사는 귀하와 관련성이 높고 귀하가 클릭할 가능성이 더 높은 광고를 표시할 수 있을 때 가장 많은 수익을 얻습니다. 따라서 합법적이든 불법적이든 이러한 회사가 사용자의 습관을 추적하여 무엇을 보여줄지 알 수 있도록 하는 데는 큰 인센티브가 있습니다.
설명에서 언급했듯이 하드 드라이브 일련 번호와 브랜드를 함께 사용하면 컴퓨터를 고유하게 식별할 수 있습니다. 드라이브 제조업체는 보증 관리 목적으로 SN 중복을 방지하기 위해 최선을 다합니다. 이 정보는 OS를 재설치해도 유지됩니다(재감염된 경우 유용함). 또한 컴퓨터 이름이나 IP 주소와 달리 변경하거나 위조하기가 특히 쉽지 않습니다.
네, 일종의 지문 채취입니다. 완전히 제거했는지 여부는 누가 알겠습니까? 컴퓨터에서 나쁜 일이 실행되면 더 이상 컴퓨터가 아닙니다. 가장 안전한 방법은 다시 설치하는 것이지만 실제로 애드웨어일 뿐이라면 MalwareBytes가 이를 처리해야 합니다. 회사가 SN으로 할 수 있는 유일한 나쁜 일은 다른 수상한 회사에 제공하는 것이지만 고유 식별 외에는 보안 위험이 없습니다.