Jak odstranit ServHelper Trojan

Na ServHelper Trojan je nebezpečná zbraň použít proti uživatelům počítačů po celém světě. Infikuje především prostřednictvím phishingových e-mailových zpráv. Náš článek poskytuje přehled o jeho chování podle odebraných vzorků a k dispozici zprávy, také to může být užitečné při pokusu odstranit virus.

Na ServHelper Trojan je aktivní backdoor malware, který používá velmi složité infekce metoda dodat další hrozbu s názvem „FlawedGrace“. První instance útok kampaně byly zjištěny již v listopadu roku 2018, kdy známky jeho vzorky byly detekovány.

virus-16

Počáteční infekce byla provedena pomocí malých e-mail phishing kampaň, která se zaměřila na finanční instituce. Vystupovali jako vnitřní komunikace, služby, oznámení nebo jiné zprávy, které byly velmi pravděpodobné, že bude otevřen příjemcům. Jejich bude obsahovat přiložené dokumenty všech populárních formátů: bohaté textové dokumenty, tabulky, databáze a prezentace. Jakmile jsou otevřeny obětí výzva se objeví po nich povolit vestavěné skripty. To povede k doručení obsahu.

Další kampaň zaměřenou na maloobchod s kombinací různých příloh, a to „.doc“, „.hospoda“, nebo „.wiz“.

Prosince 2018 viděl další vydání ServHelper Trojan tentokrát pomocí kombinace různých technik – nejen phishing dokumenty, ale také PDF zprávy obsahující odkazy na škodlivé weby popsal jako „Adobe PDF plugins“. Tělo obsah e-mailové zprávy mohou také obsahovat přímé odkazy na soubory virus. PDF soubory, které jsou distribuovány nucení uživatelů do podezření, že budou muset stáhnout novou verzi Adobe Reader aplikace, aby se správně zobrazit. Jsou uvedeny odkazy na nebezpečné kmeny.

To znamená, že to je velmi možné, že další dodávka metod, které mají být použity jako:

  • Svazek Montéři – zločinci se mohou pokusit vytvořit instalační soubory pro populární software, které obsahují kód viru. Toto je děláno tím, že legitimní soubory z jejich oficiálních zdrojů a zahrnují nezbytné pokyny. Populární možnosti zahrnují systémové nástroje, tvořivost suites, produktivity a kancelářských aplikací a atd.
  • Malware Stránky – mohou hackeři vytvořit phishingové weby, které napodobují známé stažení portály, produkt vstupní stránky, vyhledávače a další. Jsou vyrobeny pomocí podobně znějící názvy domén a bezpečnostní certifikáty, které mohou být buď self-signed nebo koupil od certifikační autority pomocí falešné nebo odcizené doklady.
  • Prohlížeč Únosci – představují škodlivé pluginy, které jsou kompatibilní s většinou populárních webových prohlížečů. Tyto případy lze většinou nalézt na příslušných repozitářů vyslán s falešnými uživatelské recenze a informace pro vývojáře. Zveřejněné popisy vám slíbit, že přidané funkce a optimalizace výkonu. Ve stejné době, jakmile jsou nainstalovány důležité změny mohou nastat v prohlížečích – změna nastavení, například výchozí domovskou stránku, vyhledávač a nové karty stránky. To se provádí za účelem přesměrování obětí na přednastavenou hacker-kontrolované stránky.
  • Soubor-Sdílení Sítí – soubory mohou být sdíleny na sítě, jako je BitTorrent, kde uživatelé Internetu aktivně příspěvek legitimní i pirátského obsahu.

Jako kampaně postupovat dále předpokládáme, že nové phishingové kampaně bude zahájena jako malware sám o sobě je aktualizován.

Jakmile ServHelper Trojan má infikovaných hostitelů zahájí vzorec chování na základě aktuální konfigurace. Hlavní motor sám o sobě je napsaný v Delphi, což znamená, že zdrojový kód lze snadno upravit v rozmezí iterací.

Téměř všechny z nich bude okamžitě nastavit místní Trojan klient umožňující útočníkům nastavit zabezpečené připojení k jejich vlastní servery. „Tunel“ verze ServHelper Trojan nastavit reverzní SSH tunel. To znamená, že zločinci budou moci používat společné Vzdálené Ploše software pro přístup k infikovaného počítače. Jakmile je to hotovo malware motor bude automaticky analyzovat systém a najít všechny uživatelské účty. Budou unesen, stejně jako všechny uložené webové prohlížeče pověření. To znamená, že ServHelper Trojan mohou přistupovat všechny důležité parametry z nejvíce populárních webových prohlížečů:

  • Cookies
  • Nastavení
  • Záložky
  • Historie
  • Uložené Stránky Preference
  • Uložená Pověření Účtu

Všechny známé varianty Trojan použít port 443, který se používá pro HTTPS sezení a 80, což je pro normální web stránku serveru dodání. Od správce sítě pohledu ohrožení stroje budou posílat legitimní provoz jako některé remote desktop aplikace může směrovat provoz přes tyto porty.

Většina hacker-kontrolované servery jsou umístěny na „.pw“ top-level domén, které mohou být varovným signálem pro administrátory. Některé novější verze mají také některé top-level domény „.trochu“ typu, které jsou také spojeny s Namecoin kryptoměna.

The POST informace obsažené na velení a řízení serverů bylo zjištěno, že signál zakódován parametry: „klíč“ , který představuje ID hrozba, která je napevno v každé samostatné virus verze. Na „sysid“ parametr se zobrazí jedinečný IDENTIFIKÁTOR, který je generován pro každý jiný host. Zachycené vzorky použít algoritmus, který používá následující data jako vstupní hodnoty: ID kampaně, Windows verze, architektura Systému, uživatelské jméno a náhodné číslo. Třetí parametr s názvem „resp“ obsahuje odpovědi od hackera řadiče.

Seznam všech dostupných příkazů, které byly zachyceny z live síťové analýzy odhaluje následující arsenal:

  • nop – To umožní keep-alive funkce, které bude neustále otestujte připojení k síti s cílem udržet ho v chodu.
  • tun – To bude nastavit tunel připojení z napadených hostitelů pocházející z port protokolu RDP (3389). Některé z pořízených vzorků bylo zjištěno, spustit rozsáhlou škálu příkazů. Budou extrahovat a drop a OpenSSH binární, konfigurovat místní RDP Warapper Knihovna Software a vytvořit přidružený uživatelské jméno nazývá „supportaccount“ s přednastavené heslo „Ghar4f5″. Tento uživatel bude přidán do „Remote Desktop Users“ a „Správci“ skupiny. Novější verze bude nahradit tento třetí-party aplikace s vestavěným-in Windows remote desktop aplikace.
  • slp – To bude nastavit hacker-definovaný časový limit režimu spánku.
  • fox – To bude instruovat místní instanci zkopírovat Mozilla Firefox profilu uživatele.
  • chrome – To bude dělat totéž pro Google Chrome.
  • killtun – To bude zabít aktivní SSH tunel proces.
  • tunlist – Tento příkaz zobrazí seznam všech aktivních SSH tunely.
  • killalltuns – Zabije všechny SSH tunel procesů.
  • shell – To se bude provádět v daném shellu příkaz a odeslat reakci na aktivní C&C server.
  • zatížení – Tento příkaz bude stáhnout a spustit spustitelný soubor z konkrétní adresu URl. Výstup bude oznámeno hacker-řízené serveru.
  • ponožky – To bude vytvořit reverzní SSH tunel, který má být běh mezi C&C server a ostatní klienti.
  • selfkill – To bude odstranit malware z infikovaného stroje.
  • loaddll – To je velmi podobný „náklad“, ale pro DLL soubory.
  • bk – To bude nastavit reverzní SSH tunel k použití C&C zadaného vzdáleného hostitele namísto napevno server.
  • únos – Tento příkaz, bude se unést na daný uživatelský účet s známý člověk. Toto je děláno tím, že vytvoří přednastavené dávkový soubor, který bude komunikovat s Windows Registru a Naplánované úlohy služby.
  • forcekill – To bude zabít všechny procesy pomocí Windows „taskkill“ příkaz.
  • sethijack – To bude kontrolovat vestavěným-in „alert“ mechanismus. Toto je děláno tím, samostatný program, který monitoruje události přihlášení uživatele. Když oprávněný uživatel přihlásí vestavěný vzorec chování se automaticky spustí: „chrome“ a „fox“ příkazy budou běžet, profily budou zkopírovány do „supportaccount“ uživatele a upozorní hacker řadiče.
  • chromeport – To implementuje stejnou funkcionalitu jako „chrome“. To bude také vést k „FlawedGrace“ malware dodání.

Většina ServHelper Trojan cílem je poskytovat FlawedGrace KRYSA. To je náklad, který je dodáván přes Trojan infekce, která se chová jako kapátko. Jakmile je spuštěn vestavěný vzorec chování bude zahájena. To bude vytvářet, šifrovat a ukládat konfigurační soubor, který obsahuje informace o hacker-řízené serveru. Na FlawedGrace KRYSA používá samostatný binární protokol pro komunikaci, a to může používat jiný port pro komunikaci, jak je vymezena jeho řadiče. Výchozí je 443.

Seznam příkazů, které byly zjištěny z analýzy sítě je následující:

Skutečnost, že ServHelper Trojan a související FlawedGrace KRYSY jsou spojeny dohromady ve většině útočné kampaně ukazuje, že hrozba herec za ním je zkušený. Všechny dodací kampaně tak daleko cílové společnosti, a nikoli jednotlivým uživatelům. Očekáváme, že budoucí verze budou vyvíjeny s ještě více nebezpečný arzenál škodlivých akcí.

Pokud je váš počítač systém byl napaden s tím ServHelper Trojan, měli byste mít nějaké zkušenosti v odstranění malware. Měli byste se zbavit tohoto Trojan tak rychle, jak je to možné dříve, než to může mít šanci se dále šířit a infikovat ostatní počítače. Ty by měly odstranit Trojan a postupujte podle krok-za-krokem průvodce níže.

Upozornění, mnohonásobný anti-počítačový virus snímač rozpoznání možné malware v ServHelper Trojan.

Antivirový SoftwareVerzeDetekce
McAfee-GW-Edition2013Win32.Application.OptimizerPro.E
McAfee5.600.0.1067Win32.Application.OptimizerPro.E
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.825
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)
Malwarebytes1.75.0.1PUP.Optional.Wajam.A
Dr.WebAdware.Searcher.2467
K7 AntiVirus9.179.12403Unwanted-Program ( 00454f261 )
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.bpjlwd
VIPRE Antivirus22224MalSign.Generic
ESET-NOD328894Win32/Wajam.A

ServHelper Trojan chování

  • Upraví plochy a nastavení prohlížeče.
  • Přesměrujte váš prohlížeč na infikovaných stránek.
  • Distribuuje prostřednictvím pay-per instalace, nebo je dodáván se softwarem jiných výrobců.
  • ServHelper Trojan ukazuje komerční inzeráty
  • Krade nebo používá vaše důvěrné údaje
  • Společné ServHelper Trojan chování a některé další text emplaining som informace vztahující se k chování
  • ServHelper Trojan deaktivuje nainstalované bezpečnostní Software.
  • Změní uživatele homepage
  • ServHelper Trojan je připojen k Internetu bez vašeho povolení
Stáhnout nástroj pro odstraněníChcete-li odstranit ServHelper Trojan

ServHelper Trojan uskutečněné verze Windows OS

  • Windows 1021% 
  • Windows 831% 
  • Windows 724% 
  • Windows Vista8% 
  • Windows XP16% 

Geografie ServHelper Trojan

Eliminovat ServHelper Trojan z Windows

Z Windows XP, odstraňte ServHelper Trojan:

  1. Klikněte na Start otevřete nabídku.
  2. Vyberte položku Ovládací panely a jít na Přidat nebo odebrat programy.win-xp-control-panel ServHelper Trojan
  3. Vybrat a Odebrat nežádoucí program.

Odebrat ServHelper Trojan z vaší Windows 7 a Vista:

  1. Otevřete nabídku Start a vyberte položku Ovládací panely.win7-control-panel ServHelper Trojan
  2. Přesunout do odinstalovat program
  3. Klepněte pravým tlačítkem myši na nežádoucí app a vybrat Uninstall.

Mazání ServHelper Trojan od Windows 8 a 8.1:

  1. Klepněte pravým tlačítkem myši na levém dolním rohu a vyberte Ovládací panely.win8-control-panel-search ServHelper Trojan
  2. Zvolte odinstalovat program a klikněte pravým tlačítkem myši na nechtěné aplikace.
  3. Klepněte na tlačítko odinstalovat .

Z vašeho prohlížeče odstranit ServHelper Trojan

ServHelper Trojan Vyjmutí z Internet Explorer

  • Klikněte na ikonu ozubeného kola a vyberte položku Možnosti Internetu.
  • Přejděte na kartu Upřesnit a klepněte na tlačítko obnovit.reset-ie ServHelper Trojan
  • Zkontrolujte, Odstranit osobní nastavení a znovu klepněte na tlačítko obnovit .
  • Klepněte na tlačítko Zavřít a klepněte na tlačítko OK.
  • Vraťte se na ikonu ozubeného kola, vyberte Spravovat doplňkypanely nástrojů a rozšířenía odstranit nežádoucí rozšíření.ie-addons ServHelper Trojan
  • Přejít na Vyhledávání zprostředkovatelů a zvolte nový výchozí vyhledávač

Vymazat ServHelper Trojan z Mozilla Firefox

  • Do pole URL zadejte "about:addons".firefox-extensions ServHelper Trojan
  • Přejděte na rozšíření a odstranění podezřelé prohlížeče rozšíření
  • Klepněte v nabídce, klepněte na otazník a otevřete nápovědu k Firefox. Klepněte na Firefox tlačítko Aktualizovat a vyberte Aktualizovat Firefox potvrdit.firefox_reset ServHelper Trojan

Ukončit ServHelper Trojan od Chrome

  • Do pole URL zadejte v "chrome://extensions" a klepněte na tlačítko Enter.extensions-chrome ServHelper Trojan
  • Ukončit nespolehlivé prohlížeče rozšíření
  • Restartujte Google Chrome.chrome-advanced ServHelper Trojan
  • Otevřete Chrome menu, klepněte na tlačítko nastavení → zobrazit pokročilá nastavení, vyberte obnovit nastavení prohlížeče a klepněte na tlačítko Obnovit (volitelné).
Stáhnout nástroj pro odstraněníChcete-li odstranit ServHelper Trojan