Недавно я столкнулся с вредоносным ПО на своем компьютере, которое собрало данные о марке моего компьютера, марке жесткого диска и серийном номере, а также, вероятно, и о многом другом.
Вредоносная программа установила себя вместе с, как я полагаю, приложением WINZIPPER, которое заменило WinRAR. Ее установка сделала очевидные вещи: изменила стартовую страницу во всех моих (распространенных) браузерах и изначально запустила исполняемый файл из временной папки, хотя это было только один раз. Затем она добавила свой URL в ярлыки запуска для всех моих распространенных браузеров, включая строку запроса, содержащую всю эту информацию.
При запуске любого браузера будет добавлен следующий URL:
www.delta-homes.com/?type=<MyComputer'sMake>&ts=<ASerialNumber>&z=<AnotherLongRandomAlphanumericSerialNumber>&from=wpm<Number>&uid=<HardDriveMake+Serial>
Из whoisпоиска, delta-homes.comдомен зарегистрирован
Пекинская технологическая компания ELEX, Ltd.
который, судя по всему, является производителем игр в Китае.
Удалив все вышеперечисленное и все ссылки на этот URL в реестре, я считаю, что нашел все точки заражения. Хотя я думаю, что один из этих веб-запросов был успешно отправлен, поэтому частично я предлагаю эту информацию как поисковую ссылку для общего блага, а частично чтобы спросить, какая еще опасность или уязвимость у меня есть теперь, когда информация была украдена.
- Если это известная инфекция, все ли точки заражения я нашел?
- Учитывая нанесенный ущерб, какому еще риску я подвергаюсь?
решение1
Рекламные компании зарабатывают больше всего денег, когда они могут показывать вам релевантную для вас рекламу, на которую вы с большей вероятностью кликнете. Поэтому у таких компаний — как законных, так и теневых — есть большой стимул отслеживать ваши привычки, чтобы знать, что показывать.
Как упоминалось в комментариях, серийный номер жесткого диска и марка вместе являются отличным способом уникальной идентификации машины. Производители дисков — в целях управления гарантией — делают все возможное, чтобы избежать дублирования серийного номера. Информация сохранится при переустановках ОС (полезно для них, если вы снова заразитесь). Ее также не так легко изменить или подделать, в отличие от имени компьютера или IP-адреса.
Так что да, это своего рода отпечаток пальца. А полностью ли вы его удалили, кто знает. Как только на вашем компьютере запускаются плохие вещи, он больше не ваш компьютер. Самым безопасным вариантом будет переустановка, но если это действительно просто рекламное ПО, MalwareBytes должна об этом позаботиться. Единственное плохое, что компания может сделать с SN, — это передать его другим теневым компаниям, но, опять же, здесь нет никакого риска для безопасности, кроме уникальной идентификации.