كيفية إزالة ServHelper Trojan

على ServHelper Trojan هو سلاح خطير ضد مستخدمي الكمبيوتر في جميع أنحاء العالم. وهو يصيب أساسا التصيد عبر رسائل البريد الإلكتروني. المادة يعطي لمحة عامة عن سلوكها وفقا جمع عينات التقارير المتاحة ، كما أنها قد تكون مفيدة في محاولة إزالة الفيروس.

على ServHelper Trojan فاعل مستتر الخبيثة التي تستخدم معقدة جدا العدوى طريقة لتقديم تهديد آخر يسمى “FlawedGrace”. أول حالات الهجوم الحملة تم تحديدها مرة أخرى في تشرين الثاني / نوفمبر 2018 عندما علامات العينات التي تم الكشف عنها.

virus-16

الإصابة الأولية تم بواسطة صغيرة الحجم البريد الإلكتروني والتصيد الحملة التي تستهدف المؤسسات المالية. أنها تشكل الاتصالات الداخلية, خدمة الإشعارات أو الرسائل الأخرى التي من المحتمل جدا أن يكون فتح من قبل المستفيدين. بهم سوف تشمل المستندات المرفقة من جميع الأشكال الشعبية: rich text المستندات وجداول البيانات وقواعد البيانات والعروض التقديمية. حالما يتم فتحها من قبل الضحايا سوف تظهر موجه طالبا منهم لتمكين المدمج في البرامج النصية. وهذا سوف يؤدي إلى تسليم الحمولة.

الحملة القادمة تستهدف قطاع تجارة التجزئة مع مجموعة من الملحقات المختلفة ، وهي “.دكتور”, “.حانة” ، أو “.الحذق”.

كانون الأول / ديسمبر 2018 رأى آخر إصدار ServHelper Trojan هذه المرة باستخدام مزيج من تقنيات مختلفة — ليس فقط التصيد الوثائق ، ولكن أيضا PDF الرسائل التي تحتوي على روابط إلى مواقع خبيثة وصفها بأنها “أدوبي PDF الإضافات”. الجسم محتويات رسائل البريد الإلكتروني يمكن أن تحتوي أيضا على وصلات مباشرة إلى ملفات الفيروسات. ملفات PDF التي يتم توزيعها إجبار المستخدمين إلى الاعتقاد أنها تحتاج إلى تحميل نسخة جديدة من برنامج Adobe Reader التطبيق بشكل صحيح. وهي تظهر الروابط الخطيرة السلالات.

وهذا يعني أنه من الممكن جدا عن غيرها من طرق التسليم أن تستخدم أيضا:

  • حزمة التركيب — المجرمين يمكن أن محاولة إنشاء ملفات الإعداد من البرامج الشعبية التي تحتوي على شفرة الفيروس. ويتم ذلك عن طريق أخذ ملفات المشروع من المصادر الرسمية ، بما في ذلك التعليمات اللازمة. وتشمل الخيارات شعبية نظام المرافق, الإبداع suites والإنتاجية تطبيقات office وغيرها.
  • مواقع البرامج الضارة — المتسللين يمكن إنشاء مواقع التصيد التي تشبه المعروفة تحميل بوابات المنتج صفحات محركات البحث وغيرها. وهي مصنوعة باستخدام السبر مماثلة أسماء النطاقات و الشهادات الأمنية التي يمكن أن تكون إما موقعة ذاتيا أو اشترى من شهادة السلطات باستخدام وهمية أو سرقة وثائق التفويض.
  • متصفح الخاطفين — وهي تمثل الإضافات الخبيثة التي يتم إجراؤها متوافق مع متصفحات الويب الأكثر شعبية. هذه الحالات غالبا ما يتم العثور على مستودعات نشرها وهمية مع الاستعراضات المستخدم و المطور المعلومات. نشر أوصاف سوف نعد ميزة إضافات و تحسينات الأداء. في نفس الوقت حالما يتم تثبيت التغييرات الهامة التي يمكن أن تحدث المتصفحات — تعديل إعدادات الصفحة الرئيسية الافتراضية ، ومحرك البحث الجديد علامات التبويب صفحة. هذا يتم من أجل توجيه الضحايا إلى المصممة مسبقا القراصنة من التحكم في الصفحة.
  • شبكات تبادل الملفات — الملفات يمكن أيضا أن تكون مشتركة على الشبكات مثل BitTorrent حيث مستخدمي الإنترنت بنشاط بعد كل المشروعة قراصنة المحتوى.

مثل حملات مزيد من التقدم ونحن نتوقع أن الجديد حملات التصيد إطلاق البرمجيات الخبيثة نفسه هو المحدث.

بمجرد ServHelper Trojan أصاب المضيفين انها ستطلق نمط السلوك على أساس التكوين الحالي. المحرك الرئيسي في حد ذاته هو مكتوب في دلفي وهو ما يعني أن شفرة المصدر يمكن بسهولة أن تعدل بين التكرارات.

تقريبا كل منهم على الفور إعداد محلي Trojan العميل يسمح المهاجمين لإنشاء اتصال آمن إلى أجهزتهم الخاصة. “النفق” نسخة من ServHelper Trojan تكوين عكس نفق SSH. وهذا يعني أن المجرمين سوف تكون قادرة على استخدام المشترك برامج سطح المكتب البعيد من أجل الوصول إلى أجهزة الكمبيوتر المصابة. حالما يتم ذلك البرمجيات الخبيثة محرك تلقائيا تحليل النظام وتحديد كافة حسابات المستخدمين. أنها سوف تكون مخطوفة وكذلك أي تخزين متصفح الويب التفويض. وهذا يعني أن ServHelper Trojan يمكن الوصول إلى جميع المعالم الهامة من متصفحات الويب الأكثر شعبية:

  • ملفات تعريف الارتباط
  • الإعدادات
  • الإشارات المرجعية
  • التاريخ
  • تخزين تفضيلات الموقع
  • تخزين بيانات اعتماد حساب

جميع المتغيرات المعروفة طروادة استخدام المنفذ 443 التي تستخدم HTTPS دورات 80 وهو العادي ملقم ويب صفحة التسليم. من مسؤول شبكة وجهة نظر المستخدم من الآلات سوف ترسل حركة المرور المشروعة مثل بعض تطبيقات سطح المكتب البعيد يمكن توجيه حركة المرور عبر هذه المنافذ.

معظم القراصنة من التحكم في الخوادم الموجودة على “.pw” نطاقات المستوى الأعلى التي يمكن أن يكون علامة تحذير للمسؤولين. بعض الإصدارات الأحدث أيضا ميزة بعض نطاقات المستوى الأعلى “.بت من نوع” والتي ترتبط أيضا مع Namecoin cryptocurrency.

آخر المعلومات الواردة في خوادم القيادة والسيطرة تم العثور على إشارة المشفرة المعلمات: “مفتاح” الذي يمثل هوية التهديد الذي ضمني في كل فصل من الفيروسات الإصدار. إن “sysid” المعلمة سوف تظهر هوية فريدة من نوعها التي يتم إنشاؤها لكل مضيف. القبض عينات استخدام خوارزمية تستخدم البيانات التالية كمدخل القيم: حملة الهوية ، Windows النسخة بنية النظام المستخدم وكلمة عشوائي صحيح. معلمة ثالث يسمى “التركيب” يحتوي على ردود من القراصنة تحكم.

قائمة بجميع الأوامر المتوفرة التي تم التقاطها من شبكة لايف تحليل يكشف التالية ارسنال:

  • نوب — وهذا سيمكن من المحافظة على الحياة الوظائف التي سوف باستمرار التحقيق اتصال الشبكة من أجل الحفاظ على تشغيله.
  • تون — هذا انشاء نفق اتصال من المضيفين للخطر القادمة من المنفذ RDP (3389). بعض العينات الملتقطة تم العثور على تشغيل مجموعة واسعة من الأوامر. وسوف استخراج وإسقاط وبينسه الثنائية ، تكوين المحلية RDP Warapper مكتبة البرامج و إنشاء يرتبط اسم المستخدم يسمى “supportaccount” مع كلمة المرور مسبقا “Ghar4f5″. هذا المستخدم سوف تضاف إلى “مستخدمي سطح المكتب البعيد” و “المسؤولين” الجماعات. في وقت لاحق سوف الإصدارات استبدال هذا التطبيق طرف ثالث مع المدمج في Windows تطبيق سطح المكتب البعيد.
  • slp — هذا مجموعة القراصنة-تعريف النوم المهلة.
  • فوكس — هذا إرشاد المحلية سبيل المثال نسخ موزيلا Firefox ملف تعريف المستخدم.
  • chrome — هذا سوف تفعل الشيء نفسه بالنسبة Google Chrome.
  • killtun — هذا سوف تقتل نشطا نفق SSH.
  • tunlist — هذا الأمر سيتم سرد كافة النشطة SSH الأنفاق.
  • killalltuns — يقتل كل نفق SSH العمليات.
  • شل — هذا سيتم تنفيذ معين شل القيادة وإرسال استجابة نشطة C&C الخادم.
  • تحميل — هذا الأمر سيتم تحميل وتشغيل الملف القابل للتنفيذ من موقع محدد. سوف يكون الإخراج ذكرت أن القراصنة-التحكم في الخادم.
  • الجوارب — هذا سيخلق عكس نفق SSH وهو أن يكون بين C&C الخادم والعملاء الآخرين.
  • selfkill — هذا سوف إزالة البرامج الضارة النشطة من الأجهزة المصابة.
  • loaddll — هذه هي مشابهة جدا “تحميل” ولكن ملفات DLL.
  • bk — هذا عكس نفق SSH استخدام C&C المحدد المضيف البعيد بدلا من تثبيت الملقم.
  • خطف — هذا الأمر سيتم خطف معين في حساب المستخدم مع شخص معروف. ويتم ذلك عن طريق إنشاء مسبقا ملف دفعي التي سوف تتفاعل مع Windows سجل المهام المجدولة.
  • forcekill — هذا سوف يقتل جميع العمليات باستخدام Windows “[تسكيل] الأمر”.
  • sethijack — هذا التحكم المدمج في “حالة تأهب” آلية. يتم ذلك عن طريق برنامج منفصل التي تراقب المستخدم تسجيل الدخول الأحداث. عندما المشروعة المستخدم بتسجيل المدمج في نمط السلوك سوف تبدأ تلقائيا: “chrome” و “فوكس” الأوامر سيتم تشغيل ملفات يتم نسخها إلى “supportaccount” المستخدم ” و ” تنبيه القراصنة تحكم.
  • chromeport — هذا يطبق نفس الوظائف ك “chrome”. هذا سوف يؤدي أيضا إلى “FlawedGrace” البرمجيات الخبيثة التسليم.

معظم ServHelper Trojan تهدف إلى تقديم FlawedGrace الفئران. وهو الحمولة التي يتم تسليمها من خلال طروادة الذي يعمل بمثابة قطارة. حالما يتم إطلاق المدمج في نمط السلوك سوف تكون بدأت. فإنه سيتم إنشاء, تشفير وتخزين تكوين ملف يحتوي على معلومات حول القراصنة من التحكم في الخادم. على FlawedGrace الفئران يستخدم منفصلة الثنائية بروتوكول الاتصالات ويمكن استخدام منفذ مختلف الاتصالات على النحو المحدد من قبل وحدات تحكم. الافتراضي هو واحد 443.

قائمة من الأوامر التي تم تحديدها من شبكة التحليل التالية:

حقيقة أن ServHelper Trojan وما يرتبط بها من FlawedGrace الفئران هي واحدة معا في معظم حملات الهجوم يدل على أن التهديد الفاعل وراء ذلك هو من ذوي الخبرة. تسليم كافة الحملات حتى الآن الهدف الشركات وليس الأفراد المستخدمين. ونحن نتوقع أن الإصدارات المستقبلية سوف تكون المتقدمة وجود أكثر خطورة ترسانة من الإجراءات الخبيثة.

إذا كان جهاز الكمبيوتر الخاص بك نظام حصلت على المصابين ServHelper Trojan ، يجب أن يكون لديك بعض الخبرة في إزالة البرامج الضارة. يجب التخلص من Trojan بأسرع وقت ممكن قبل أن يمكن أن يكون فرصة لنشر المزيد تصيب أجهزة الكمبيوتر الأخرى. يجب إزالة Trojan واتبع خطوة بخطوة دليل الإرشادات الواردة أدناه.

تحذير، اكتشفت الماسحات الضوئية مكافحة الفيروسات متعددة البرامج الضارة المحتملة في ServHelper Trojan.

البرمجيات المضادة للفيروساتالإصدارالكشف عن
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh
VIPRE Antivirus22224MalSign.Generic
Malwarebytes1.75.0.1PUP.Optional.Wajam.A
K7 AntiVirus9.179.12403Unwanted-Program ( 00454f261 )
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo
McAfee-GW-Edition2013Win32.Application.OptimizerPro.E
ESET-NOD328894Win32/Wajam.A
VIPRE Antivirus22702Wajam (fs)
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.825
Malwarebytesv2013.10.29.10PUP.Optional.MalSign.Generic
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.bpjlwd
Dr.WebAdware.Searcher.2467
McAfee5.600.0.1067Win32.Application.OptimizerPro.E

السلوك ServHelper Trojan

  • وتوزع نفسها من خلال دفع كل تثبيت أو هو المجمعة مع طرف ثالث البرمجيات.
  • يؤدي إلى إبطاء اتصال الإنترنت
  • يقوم بتعديل سطح المكتب وإعدادات المستعرض.
  • المشتركة ServHelper Trojan السلوك وبعض النص امبلينينج سوم معلومات أخرى تتصل بالسلوك
  • ServHelper Trojan يلغي تنشيط برامج الأمان المثبتة.
  • يسرق أو يستخدم "البيانات السرية" الخاصة بك
  • ServHelper Trojan يربط إلى الإنترنت دون الحصول على إذن منك
  • يظهر تحذيرات أمنية وهمية، والنوافذ المنبثقة والإعلانات.
  • إعادة توجيه المستعرض الخاص بك إلى الصفحات المصابة.
  • ويدمج في مستعرض ويب عن طريق ملحق المستعرض ServHelper Trojan
  • ServHelper Trojan عروض الإعلانات التجارية
  • تغيير الصفحة الرئيسية للمستخدم
تنزيل أداة إزالةلإزالة ServHelper Trojan

ServHelper Trojan تتم إصدارات نظام التشغيل Windows

  • Windows 1023% 
  • Windows 831% 
  • Windows 722% 
  • Windows Vista6% 
  • Windows XP18% 

الجغرافيا ServHelper Trojan

إزالة ServHelper Trojan من ويندوز

إزالة ServHelper Trojan من نظام التشغيل Windows XP:

  1. اسحب مؤشر الماوس إلى اليسار من شريط المهام، ثم انقر فوق بدء تشغيل لفتح قائمة.
  2. فتح لوحة التحكم ، وانقر نقراً مزدوجاً فوق إضافة أو إزالة البرامج. win-xp-control-panel ServHelper Trojan
  3. إزالة التطبيق غير مرغوب فيها.

إزالة ServHelper Trojan من ويندوز فيستا أو ويندوز 7:

  1. انقر فوق رمز القائمة ابدأ على شريط المهام وحدد لوحة التحكم. win7-control-panel ServHelper Trojan
  2. حدد إلغاء تثبيت برنامج ، وتحديد موقع التطبيق غير مرغوب فيه
  3. زر الماوس الأيمن فوق التطبيق الذي تريد حذفه وحدد إلغاء التثبيت.

إزالة ServHelper Trojan من ويندوز 8:

  1. انقر بالزر الأيمن على الشاشة "واجهة المستخدم للمترو", حدد كافة تطبيقات ومن ثم لوحة التحكم. win8-control-panel-search ServHelper Trojan
  2. الذهاب إلى إلغاء تثبيت برنامج ، و انقر بالزر الأيمن التطبيق الذي تريد حذفه.
  3. حدد إلغاء التثبيت.

إزالة ServHelper Trojan من "المستعرضات الخاصة بك"

إزالة ServHelper Trojan من Internet Explorer

  • اذهب ل Alt + T، وانقر فوق "خيارات إنترنت".
  • في هذا القسم، الانتقال إلى علامة التبويب 'خيارات متقدمة' ومن ثم انقر فوق الزر 'تعيين'. reset-ie ServHelper Trojan
  • انتقل إلى ← 'إعادة تعيين إعدادات Internet Explorer'، ثم إلى 'حذف الإعدادات الشخصية' واضغط على الخيار 'إعادة'.
  • بعد ذلك، انقر فوق 'إغلاق' والذهاب لموافق لحفظ التعديلات.
  • انقر فوق علامات التبويب Alt + T والذهاب إدارة الوظائف الإضافية. نقل أشرطة الأدوات والملحقات، وهنا، على التخلص من الملحقات غير المرغوب فيها. ie-addons ServHelper Trojan
  • انقر فوق موفرات البحث وتعيين أي صفحة كأداة البحث الجديد الخاص بك.

حذف ServHelper Trojan من Firefox موزيلا

  • كما لديك المستعرض الخاص بك فتح، اكتب في about:addons في حقل عنوان URL هو مبين. firefox-extensions ServHelper Trojan
  • التحرك من خلال قائمة ملحقات والوظائف الإضافية، وحذف العناصر وجود شيء من القواسم المشتركة مع ServHelper Trojan (أو تلك التي قد تجد غير مألوف). إذا لم يتم توفير ملحق واسطة موزيلا أو جوجل، مايكروسوفت، أوراكل أو Adobe، ينبغي عليك التأكد من تقريبا لديك لمحو ذلك.
  • ثم، إعادة تعيين Firefox بالقيام بذلك: الانتقال إلى Firefox--> التعليمات (تعليمات في القائمة للمستخدمين ماك)--> معلومات استكشاف الأخطاء وإصلاحها. وأخيراً،إعادة تعيين Firefox. firefox_reset ServHelper Trojan

إنهاء ServHelper Trojan من Chrome

  • في الحقل عنوان URL المعروض، اكتب في chrome://extensions. extensions-chrome ServHelper Trojan
  • إلقاء نظرة على الملحقات المتوفرة، والعناية بتلك التي تجد لا لزوم لها (تلك التي تتصل ServHelper Trojan) قبل حذفها. إذا كنت لا تعرف ما إذا كان يجب حذف واحد أو آخر مرة واحدة وإلى الأبد، تعطيل بعض منهم بشكل مؤقت.
  • ثم، قم بإعادة تشغيل Chrome.chrome-advanced ServHelper Trojan
  • اختيارياً، يمكنك قد اكتب في chrome://settings في شريط عنوان URL، والانتقال إلى إعدادات متقدمة، انتقل للأسفل واختر إعادة تعيين إعدادات المستعرض.
تنزيل أداة إزالةلإزالة ServHelper Trojan