4

Недавно я столкнулся с некоторыми вредоносными программами на моем компьютере, которые собрали информацию о марке и серийном номере компьютера, а также, возможно, о многих других вещах.

Вредоносная программа установилась вместе с верой в приложение под названием WINZIPPER, которое заменило WinRAR. Его установка сделала очевидные вещи изменения стартовой страницы во всех моих (общих) браузерах и изначально запускала исполняемый файл из временной папки, хотя это было только один раз. Затем он добавил свой URL в ярлыки запуска для всех моих общих браузеров, включая строку запроса, содержащую всю эту информацию.

После запуска любого из браузеров, он добавил бы этот URL:

www.delta-homes.com/?type=<MyComputer'sMake>&ts=<ASerialNumber>&z=<AnotherLongRandomAlphanumericSerialNumber>&from=wpm<Number>&uid=<HardDriveMake+Serial>

С whois поиска, домен delta-homes.com зарегистрирован

Пекинская Технологическая Компания "ЭЛЕКС" Лтд., Китай

который, кажется, производитель игр в Китае.

Удаляя все вышеперечисленное и все ссылки на этот URL в реестре, я считаю, что нашел все точки заражения. Хотя я думаю, что один из этих веб-запросов был успешно отправлен, поэтому частично я предлагаю эту информацию в качестве справочного материала для поиска для общего блага и частично для того, чтобы спросить, какую дополнительную опасность или уязвимость я испытываю сейчас, когда эта информация была украдена.

  1. Если это известная инфекция, нашел ли я все точки заражения?
  2. С нанесенным ущербом, на какой дальнейший риск я теперь нахожусь?

1 ответ1

0

Рекламные компании получают наибольшую прибыль, когда могут показывать вам релевантные вам объявления, на которые вы, скорее всего, нажмете. Поэтому у таких компаний есть большой стимул - как законный, так и сомнительный - отслеживать ваши привычки, чтобы они знали, что показать.

Как уже упоминалось в комментариях, серийный номер жесткого диска и марка вместе являются отличным способом уникальной идентификации машины. Производители дисков - в целях гарантийного управления - делают все возможное, чтобы избежать дублирования SN. Информация будет сохраняться при переустановках ОС (полезно для них, если вы повторно заразились). Это также не так легко изменить или подделать, в отличие от имени компьютера или IP-адреса.

Так что да, это тип снятия отпечатков пальцев. Что касается того, полностью ли вы его удалили, кто знает. Как только плохие вещи запускаются на вашем компьютере, это больше не ваш компьютер. Самым безопасным вариантом будет переустановка, но если это действительно только рекламное ПО, MalwareBytes должен позаботиться об этом. Единственная плохая вещь, которую компания может сделать с SN, - это передать его другим сомнительным компаниям, но опять же, там нет никакого риска для безопасности, кроме уникальной идентификации.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .