Recentemente, encontrei algum malware no meu computador que reuniu a marca do meu computador, a marca do disco rígido e o número de série, além de provavelmente muitas outras coisas.
O malware se instalou junto com, acredito, um aplicativo chamado WINZIPPER que substituiu o WinRAR. Sua instalação fez as coisas óbvias de alterar a página inicial em todos os meus navegadores (comuns) e inicialmente executou um executável a partir de uma pasta temporária, embora isso tenha acontecido apenas uma vez. Em seguida, ele adicionou seu URL aos atalhos de inicialização de todos os meus navegadores comuns, incluindo uma string de consulta contendo todas essas informações.
Ao iniciar qualquer um dos navegadores, seria adicionado este URL:
www.delta-homes.com/?type=<MyComputer'sMake>&ts=<ASerialNumber>&z=<AnotherLongRandomAlphanumericSerialNumber>&from=wpm<Number>&uid=<HardDriveMake+Serial>
A partir de uma whoispesquisa, o delta-homes.comdomínio é registrado por
Pequim ELEX Technology Co., Ltd.
que parece ser um fabricante de jogos na China.
Removendo todos os itens acima e todas as referências a esse URL no registro, acredito ter encontrado todos os pontos de infecção. Embora eu ache que uma dessas solicitações da web foi enviada com sucesso, em parte ofereço essas informações como uma referência pesquisável para o bem comum e, em parte, para perguntar que perigo ou vulnerabilidade adicional eu tenho agora que as informações foram roubadas.
- Se esta for uma infecção conhecida, encontrei todos os pontos de infecção?
- Com o dano causado, que risco adicional corro agora?
Responder1
As empresas de publicidade ganham mais dinheiro quando podem mostrar anúncios que são relevantes para você e nos quais você tem maior probabilidade de clicar. Portanto, há um grande incentivo para que essas empresas – tanto legítimas quanto duvidosas – acompanhem seus hábitos para que saibam o que mostrar.
Conforme mencionado nos comentários, o número de série e a marca do disco rígido juntos são uma ótima maneira de identificar uma máquina de maneira exclusiva. Os fabricantes de drives - para fins de gerenciamento de garantia - fazem o possível para evitar a duplicação de SN. As informações persistiriam durante as reinstalações do sistema operacional (útil para eles se você fosse infectado novamente). Também não é particularmente fácil de alterar ou falsificar, ao contrário do nome do computador ou do endereço IP.
Então sim, é um tipo de impressão digital. Quanto a saber se você o removeu totalmente, quem sabe. Depois que coisas ruins acontecem no seu computador, ele não é mais o seu computador. A aposta mais segura seria reinstalar, mas se for apenas adware, o MalwareBytes deve cuidar disso. A única coisa ruim que a empresa poderia fazer com o SN é fornecê-lo a outras empresas duvidosas, mas, novamente, não há nenhum risco de segurança além da identificação única.