我最近在我的计算机上遇到了一些恶意软件,它收集了我计算机的品牌、硬盘品牌和序列号,以及可能还有许多其他信息。
恶意软件会自行安装,同时安装一款名为 WINZIPPER 的应用程序,该程序可替代 WinRAR。它的安装过程显而易见,即更改了我所有(常用)浏览器的启动页面,并最初从临时文件夹运行可执行文件,尽管这只是一次。然后,它将自己的 URL 添加到我所有常用浏览器的启动快捷方式中,其中包括一个包含所有这些信息的查询字符串。
启动任何浏览器时,它都会添加此 URL:
www.delta-homes.com/?type=<MyComputer'sMake>&ts=<ASerialNumber>&z=<AnotherLongRandomAlphanumericSerialNumber>&from=wpm<Number>&uid=<HardDriveMake+Serial>
通过whois搜索,可以发现该delta-homes.com域名由以下机构注册:
北京智联科技有限公司
他似乎是中国的一个游戏制造商。
删除上述所有内容以及注册表中对该 URL 的所有引用后,我相信我已经找到了所有感染点。虽然我认为其中一个 Web 请求已成功发送,所以我提供此信息的部分原因是出于公共利益的可搜索参考,部分原因是想问一下,既然信息已被盗,我还会面临哪些进一步的危险或漏洞。
- 如果这是一种已知感染,我是否已经找到所有感染点?
- 既然已经造成了损害,我现在还面临什么风险?
答案1
广告公司在向你展示与你相关且你更有可能点击的广告时,可以赚到最多的钱。因此,这些公司(无论是合法的还是不正当的)有很大的动机去跟踪你的习惯,以便知道应该展示什么。
正如评论中提到的,硬盘序列号和品牌结合在一起是识别机器的唯一方式。出于保修管理的目的,驱动器制造商会尽最大努力避免 SN 重复。这些信息会在操作系统重新安装后保留(如果您再次感染,这些信息对他们很有用)。与计算机名称或 IP 地址不同,它也不容易更改或伪造。
所以是的,这是一种指纹识别。至于你是否完全删除了它,谁知道呢。一旦坏东西在你的电脑上运行,它就不再是你的电脑了。最安全的做法是重新安装,但如果它真的只是广告软件,MalwareBytes 应该会处理它。该公司对 SN 唯一能做的坏事就是把它交给其他可疑的公司,但同样,除了唯一标识之外,那里没有安全风险。