Como remover ServHelper Trojan

O ServHelper Trojan é uma perigosa arma utilizada contra os usuários de computador em todo o mundo. Ele infecta principalmente através de mensagens de phishing. O nosso artigo dá uma visão geral do seu comportamento de acordo com as amostras coletadas e relatórios disponíveis, também, pode ser útil tentar remover o vírus.

O ServHelper Trojan é um ativo backdoor malware que utiliza um complexo método de infecção para entregar outra ameaça chamada “FlawedGrace”. O primeiro instâncias do ataque campanha foram identificadas em novembro de 2018, quando os sinais de seu amostras foram detectados.

virus-16

A infecção inicial foi feito através de um pequeno-do tamanho de e-mail de phishing campanha que visava instituições financeiras. Eles faziam como comunicação interna, serviço de notificações ou outras mensagens que foram muito provável ser abertos pelos destinatários. A sua vontade de incluir documentos anexados nos formatos mais populares: rico em documentos de texto, folhas de cálculo, bases de dados e apresentações. Assim que eles são abertos pelas vítimas, será exibido um prompt pedindo-lhes para activar os scripts internos. Isso vai levar para a carga útil de entrega.

A próxima campanha segmentada do setor de varejo com uma combinação de diferentes anexos, a saber “.doc”, “.pub”, ou “.wiz”.

De dezembro de 2018, viu outra versão do ServHelper Trojan desta vez usando uma mistura de várias técnicas — não só o phishing documentos, mas também em PDF mensagens contendo links para sites mal-intencionados, descrito como “Adobe PDF plugins”. O conteúdo das mensagens de e-mail também podem conter links diretos para os arquivos de vírus. Os arquivos PDF que estão sendo distribuídos forçar os usuários a acreditarem que eles precisam para download uma nova versão do Adobe Reader aplicativo para visualizar correctamente. Eles são apresentados links para as perigosas tensões.

Isto significa que é muito possível que outros métodos de entrega para ser usado assim:

  • Pacote de Instaladores — Os criminosos podem tentar criar ficheiros de configuração de software populares que contêm o código do vírus. Isto é feito tomando os arquivos legítimos de suas fontes oficiais e incluindo as instruções necessárias. Escolhas populares incluem utilitários do sistema, criatividade suites, produtividade e aplicativos de escritório e etc.
  • Sites de Malware — Os hackers podem criar sites de phishing que imitar conhecidos portais de download, páginas de destino dos produtos, mecanismos de busca e outros. Eles são feitos usando som similar nomes de domínio e certificados de segurança que podem ser auto-assinados ou comprado de autoridades de certificação usando falsos ou credenciais roubadas.
  • Os Sequestradores de navegador — Eles representam malicioso plugins que são compatíveis com a maioria dos navegadores da web populares. Estas instâncias podem em grande parte ser encontradas nos respectivos repositórios sendo postado com falsos comentários e informações de desenvolvedor. Postado descrições irão promessa de novos recursos e otimizações de desempenho. Ao mesmo tempo, assim que eles estão instaladas importantes mudanças podem ocorrer para os navegadores — a modificação de configurações, tais como a home page padrão, motor de busca e a página de novas guias. Isso é feito para redirecionar a vítima a um pré-hacker-controlada página.
  • Redes de Compartilhamento de arquivos — Os arquivos também podem ser compartilhados em redes como o BitTorrent onde os usuários da Internet ativamente post ambos legítimos e conteúdo pirata.

Como as campanhas de progredir esperamos que novas campanhas de phishing, será lançado como o malware é atualizada.

Assim que o ServHelper Trojan tem infectado os hosts que vai lançar um padrão de comportamento baseado na configuração actual. O principal mecanismo de si mesmo é escrito em Delphi, o que significa que o código-fonte pode ser modificado facilmente entre as iterações.

Quase todos eles serão instantaneamente configurar um local de Tróia cliente , permitindo que os atacantes para configurar uma conexão segura para seus próprios servidores. O “túnel”, versão do ServHelper Trojan irá configurar o inverso de um túnel SSH. Isso significa que os criminosos serão capazes de se usar o Remote Desktop software para acessar os computadores infectados. Assim que isso é feito, o mecanismo de malware automaticamente irá analisar o sistema e localizar todas as contas de usuário. Eles vão ser sequestrado, bem como quaisquer armazenados navegador da web credenciais. Isso significa que o ServHelper Trojan pode acessar todos os parâmetros importantes dos navegadores mais populares:

  • Cookies
  • Definições
  • Favoritos
  • História
  • Guardadas As Preferências Do Site
  • Armazenados Credenciais De Conta

Todas as variantes conhecidas do Trojan usa a porta 443, que são utilizados para sessões HTTPS e 80 que é normal de servidor web página da entrega. A partir de um administrador de rede da perspectiva de computadores comprometidos irá enviar o tráfego legítimo como algumas aplicações de ambiente de trabalho remoto pode rotear o tráfego através destas portas.

A maioria dos hacker-controlado servidores estão localizados no “.pw” domínios de nível superior que pode ser um sinal de alerta para os administradores. Algumas das versões posteriores também apresentam alguns domínios de nível superior “.bit” do tipo que também são associados com o Namecoin cryptocurrency.

O POST informações contidas nos servidores de comando e controle foram encontrados para sinal codificado parâmetros: a “chave” que representa a IDENTIFICAÇÃO da ameaça, que é codificado em cada um vírus versão. O “sysid” parâmetro irá mostrar o ID exclusivo que é gerado para cada host diferente. Capturado exemplos de uso de um algoritmo que utiliza os seguintes dados como valores de entrada: ID da campanha, Windows versão, arquitetura do Sistema, o nome de usuário e um número inteiro aleatório. Um terceiro parâmetro chamado de “conta-poupança” contém as respostas do hacker controladores.

Uma lista de todos os comandos disponíveis que foram capturados a partir do live análise de rede revela o seguinte arsenal:

  • nop — Isso permitirá um keep-alive funcionalidade que constantemente sondar a conexão de rede, a fim de mantê-lo funcionando.
  • tun — Isto irá configurar uma conexão de túnel de hosts comprometidos originários da porta RDP (3389). Alguns dos capturados foram encontradas amostras para executar uma ampla variedade de comandos. Eles vão extrair e soltar e o OpenSSH binário, configure o local RDP Warapper Biblioteca de Software e criar um nome de usuário associado chamado “supportaccount” com uma senha predefinida de “Ghar4f5″. Este usuário será adicionado à área de Trabalho Remota “Usuários” e “Administradores” de grupos. Versões posteriores irá substituir este aplicativo de terceiros com o built-in Windows aplicação ambiente de trabalho remoto.
  • slp — Este será um hacker definido pelo sono limite de tempo.
  • fox — Isso vai indicar a instância local para copiar o Mozilla Firefox de perfil de usuário.
  • chrome — Isso vai fazer o mesmo para Google Chrome.
  • killtun — Isso vai matar um ativo túnel SSH processo.
  • tunlist — Este comando irá listar todos os ativos túneis SSH.
  • killalltuns — Mata todos os túnel SSH processos.
  • shell — Isso irá executar um determinado comando da shell e enviar a resposta para o active C&C do servidor.
  • carga — Este comando irá baixar e executar um arquivo executável a partir de um URl específico. A saída será relatado para o hacker, controlada pelo servidor.
  • meias — Isso vai criar o inverso de um túnel SSH que está a ser executado entre o servidor C&C e outros clientes.
  • selfkill — Isso vai remover o malware ativo de máquinas infectadas.
  • loaddll — Isso é muito semelhante a “carga”, mas para arquivos DLL.
  • bk — Esse vai definir o inverso túnel SSH para usar um C&C host remoto especificado em vez do codificada servidor.
  • seqüestrar — Este comando vai seqüestrar uma determinada conta de usuário com uma pessoa conhecida. Isto é feito através da criação de uma predefinição arquivo em lotes que irão interagir com o Windows Registro e tarefas Agendadas serviço.
  • forcekill — Isso vai matar todos os processos que utilizam o Windows “taskkill de comando”.
  • sethijack — Isso vai controlar um built-in “alerta” mecanismo. Isso é feito por um programa separado que monitora os eventos de início de sessão de utilizador. Quando um usuário legítimo logs de um built-in padrão de comportamento irá iniciar automaticamente: “chrome” e “fox” comandos será executado, os perfis serão copiados para o “supportaccount de usuário” e alertando o hacker controladores.
  • chromeport — Este implementa a mesma funcionalidade como “chrome”. Isso também irá levar para o “FlawedGrace” entrega de malwares.

A maioria dos ServHelper Trojan o objetivo de entregar o FlawedGrace de RATOS. É uma carga que é entregue através de Tróia, que atua como um conta-gotas. Assim que é lançado um built-in padrão de comportamento será iniciado. Ele vai criar, criptografar e armazenar um arquivo de configuração que contém informações sobre o hacker, controlada pelo servidor. O FlawedGrace RAT usa separado protocolo binário para comunicação e pode usar uma porta diferente para a comunicação definida por seus controladores. O padrão é 443.

Uma lista dos comandos que foram identificados a partir de uma análise de rede é o seguinte:

O fato de que o ServHelper Trojan e o associado FlawedGrace RAT são agrupadas em mais de ataque campanhas mostra que a ameaça ator por trás é experiente. Todas as campanhas de fornecimento até agora alvo de empresas, e não a usuários individuais. Esperamos que as futuras versões irão ser desenvolvido tendo-se ainda mais perigoso arsenal de ações maliciosas.

Se o seu sistema foi infectado com o ServHelper Trojan, você deve ter um pouco de experiência na remoção de malware. Você deve se livrar deste Trojan, tão rapidamente quanto possível antes de ter a chance de espalhar mais e infectar outros computadores. Você deve remover o cavalo de Tróia e siga o passo-a-passo guia para instruções fornecidas abaixo.

Atenção, vários scanners antivírus detectaram possível malware em ServHelper Trojan.

Software anti-vírusVersãoDeteção
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.825
K7 AntiVirus9.179.12403Unwanted-Program ( 00454f261 )
Malwarebytesv2013.10.29.10PUP.Optional.MalSign.Generic
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh
Malwarebytes1.75.0.1PUP.Optional.Wajam.A
McAfee5.600.0.1067Win32.Application.OptimizerPro.E
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.bpjlwd
VIPRE Antivirus22702Wajam (fs)
McAfee-GW-Edition2013Win32.Application.OptimizerPro.E
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)

Comportamento de ServHelper Trojan

  • Retarda a conexão com a internet
  • Programas de segurança falsos alertas, pop-ups e anúncios.
  • Integra no navegador da web através da extensão do navegador de ServHelper Trojan
  • Comportamento comum de ServHelper Trojan e alguns outra texto emplaining som informação relacionados ao comportamento
  • ServHelper Trojan desativa o Software de segurança instalado.
  • ServHelper Trojan se conecta à internet sem a sua permissão
  • Redirecione o navegador para páginas infectadas.
  • Rouba ou usa seus dados confidenciais
  • Modifica o Desktop e as configurações do navegador.
Download ferramenta de remoçãoremover ServHelper Trojan

ServHelper Trojan efetuado versões de sistema operacional Windows

  • Windows 1029% 
  • Windows 836% 
  • Windows 725% 
  • Windows Vista7% 
  • Windows XP3% 

Geografia de ServHelper Trojan

Eliminar ServHelper Trojan do Windows

Exclua ServHelper Trojan de Windows XP:

  1. Clique em Iniciar para abrir o menu.
  2. Selecione Painel de controle e vá para Adicionar ou remover programas.win-xp-control-panel ServHelper Trojan
  3. Escolher e remover o programa indesejado.

Remover ServHelper Trojan do seu Windows 7 e Vista:

  1. Abra o menu Iniciar e selecione Painel de controle.win7-control-panel ServHelper Trojan
  2. Mover para desinstalar um programa
  3. Botão direito do mouse sobre o app indesejado e escolha desinstalar.

Apagar ServHelper Trojan de Windows 8 e 8.1:

  1. Botão direito do mouse sobre o canto inferior esquerdo e selecione Painel de controle.win8-control-panel-search ServHelper Trojan
  2. Escolha desinstalar um programa e com o botão direito sobre o app indesejado.
  3. Clique em desinstalar .

Excluir ServHelper Trojan de seus navegadores

ServHelper Trojan Remoção de Internet Explorer

  • Clique no ícone de engrenagem e selecione Opções da Internet.
  • Vá para a aba avançado e clique em Redefinir.reset-ie ServHelper Trojan
  • Verifique excluir configurações pessoais e clique em Redefinir novamente.
  • Clique em fechar e selecione Okey.
  • Voltar para o ícone de engrenagem, escolha Gerenciar Complementosbarras de ferramentas e extensõese delete indesejados extensões.ie-addons ServHelper Trojan
  • Vá para Provedores de pesquisa e escolher um novo padrão de pesquisa

Apagar ServHelper Trojan da Mozilla Firefox

  • Digite "about:addons" no campo de URL .firefox-extensions ServHelper Trojan
  • Vá para extensões e excluir extensões do navegador suspeito
  • Clique sobre o menu, clique no ponto de interrogação e abrir a ajuda do Firefox. Clique sobre o botão Firefox actualizar e selecione Atualizar Firefox para confirmar.firefox_reset ServHelper Trojan

Encerrar ServHelper Trojan de Chrome

  • Digite "chrome://extensions" no campo URL e toque em Enter.extensions-chrome ServHelper Trojan
  • Encerrar o navegador confiável extensões
  • Google Chrome reiniciar .chrome-advanced ServHelper Trojan
  • Abra o menu Chrome, clique em configurações → Show advanced settings, selecione Redefinir as configurações do navegador e clique em redefinir (opcional).
Download ferramenta de remoçãoremover ServHelper Trojan