ServHelper Trojan entfernen

Die ServHelper Trojan ist eine gefährliche Waffe gegen die computer-Nutzer weltweit. Es infiziert hauptsächlich über phishing-E-Mails. Unser Artikel gibt einen überblick über sein Verhalten entsprechend der gesammelten Proben und Berichte verfügbar, auch kann es hilfreich sein, zu versuchen, den virus zu entfernen.

Die ServHelper Trojan ist ein aktiver backdoor-malware, die verwendet eine sehr komplexe Infektion Methode liefert eine weitere Bedrohung namens “FlawedGrace”. Die ersten Instanzen der Angriff Kampagne identifiziert wurden, die bereits im November 2018, wenn die Zeichen seiner Proben erkannt wurden.

virus-16

Die erste Infektion erfolgt über eine kleine E-Mail-phishing-Kampagne, die gezielt Finanzinstitute. Sie posierte als interne Kommunikation, Benachrichtigungen oder andere Mitteilungen, die waren sehr wahrscheinlich geöffnet werden, indem der Empfänger. Ihr gehören angehängte Dokumente aller gängigen Formate: rich-text-Dokumente, Tabellenkalkulationen, Datenbanken und Präsentationen. Sobald Sie geöffnet werden, durch das Opfer wird eine Meldung mit der Frage angezeigt, Ihnen zu ermöglichen, die eingebauten Skripts. Dies führt zu der Nutzlast Lieferung.

Die nächste Kampagne, die den Einzelhandel mit einer Kombination aus verschiedenen Anlagen, nämlich “.doc”, “.pub”, oder “.wiz”.

Dezember 2018 sah, eine andere Version der ServHelper Trojan dieses mal mit einem mix aus verschiedenen Techniken — nicht nur die phishing-Dokumente, sondern auch PDF-Nachrichten mit links zu bösartigen Websites beschrieben als “Adobe PDF-plugins”. Der Körper Inhalt der E-Mail-Nachrichten können auch enthalten direkte links, um die virus-Dateien. Die PDF-Dateien verteilt wird, zwingen die Benutzer zu glauben, dass Sie zum download eine neue version des Adobe-Reader-Anwendung, um korrekt anzuzeigen. Sie sind hier links zu den gefährlichen Belastungen.

Dies bedeutet, dass es ist sehr möglich, andere Lieferadresse Methoden verwendet werden:

  • Bundle Installateure — Der Verbrecher kann versuchen, erstellen von setup-Dateien der gängigsten software, die den virus-code. Dies geschieht, indem der legitime Dateien von der offiziellen Quellen und die notwendigen Anweisungen. Beliebte Auswahl umfasst system-utilities, Kreativität, Suiten, Produktivität und office-apps und etc.
  • Malware-Sites — Hacker erstellen können phishing-Seiten imitieren bekannten download-Portale, Produkt-landing-pages, Suchmaschinen und andere. Sie werden gebildet, indem man ähnlich klingende domain-Namen und Sicherheits-Zertifikate, die entweder selbst-signiert oder gekauft von Zertifizierungsstellen, die mit gefälschten oder gestohlenen Anmeldeinformationen.
  • Browser-Hijacker — Sie repräsentieren schädliche Plug-ins sind kompatibel mit den beliebtesten web-Browsern. Diese Instanzen können sich vor allem auf die entsprechenden repositories veröffentlicht, mit gefälschten Nutzerbewertungen und Informationen für Entwickler. Die geposteten Beschreibungen Versprechen feature-Ergänzungen und performance-Optimierungen. Zur gleichen Zeit, sobald Sie installiert sind wichtige änderungen, die auftreten können, um die Browser — die änderung von Einstellungen wie der Standard-Homepage, Suchmaschine und neue Tab ” – Seite. Dies geschieht, um zum umleiten der Opfer auf eine vordefinierte hacker kontrollierte Seite.
  • Datei-Sharing-Netzwerke — Die Dateien können auch geteilt werden auf Netzwerken wie BitTorrent, wo Internet-Nutzer aktiv nach beiden legitimen und Piraten-content.

Neben den Kampagnen, die weitere Fortschritte erwarten wir, dass die neue phishing-Kampagnen ins Leben gerufen werden als die malware selbst aktualisiert.

Sobald die ServHelper Trojan infiziert hat die Gastgeber starten Sie ein Verhaltensmuster, basierend auf der aktuellen Konfiguration. Der wichtigste Motor selbst ist in Delphi geschrieben, was bedeutet, dass der source-code kann einfach geändert werden zwischen den Iterationen.

Fast alle von Ihnen werden sofort mit einer Trojaner-client ermöglicht den Angreifern um eine sichere Verbindung zu Ihrem eigenen Server. Der “tunnel” – version des ServHelper Trojan konfigurieren eines reverse-SSH-tunnel. Dies bedeutet, dass die kriminellen in der Lage sein, die Nutzung von gemeinsamen Remote-Desktop-software, um Zugriff auf den infizierten Computer. Sobald dies geschehen ist, das malware-engine automatisch analysieren das system und suchen Sie alle Benutzer-accounts. Sie werden entführt, sowie alle gespeicherten web-browser Anmeldeinformationen. Dies bedeutet, dass die ServHelper Trojan Zugriff auf alle wichtigen Parameter der beliebtesten web-Browser:

  • Cookies
  • Einstellungen
  • Lesezeichen
  • Geschichte
  • Gespeichert Von Website-Einstellungen
  • Gespeicherte Anmeldeinformationen

Alle bekannten Varianten des Trojaners verwenden Sie port 443 für HTTPS-sessions und 80, die für normale web-server-Seite Lieferung. Von einem Netzwerk-administrator-Perspektive, die den infizierten Computer senden legitimen Datenverkehr, wie einige remote-desktop-Anwendungen können die route, die der Datenverkehr über diese ports.

Die meisten hacker-kontrollierten Servern befinden sich auf “.pw” top-level-domains kann ein Warnzeichen für Administratoren. Einige der späteren Versionen bieten auch einige top-level-domains von “.bit” geben, die auch im Zusammenhang mit der Namecoin kryptogeld.

Die POST-Informationen, die in den command-und control-Server wurden gefunden, um zu signalisieren codierte Parameter: “key” steht für die ID der Bedrohung, die ist hardcoded in jedes einzelne virus-version. Die “sysid” parameter zeigt die eindeutige ID, die generiert wird, für jeden anderen host. Die aufgenommenen samples verwenden einen Algorithmus, der verwendet die folgenden Daten als Eingabe Werte: Kampagnen-ID, Windows-version, der System-Architektur, Benutzername und eine zufällige ganze Zahl. Ein Dritter parameter namens “bzw” enthält die Antworten von der hacker-regler.

Eine Liste aller verfügbaren Befehle, die aufgenommen wurden aus dem live-Netzwerk-Analyse zeigt die folgende arsenal:

  • nop — damit wird eine keep-alive-Funktionalität, die ständig Sonde die Netzwerkverbindung in Ordnung zu halten, dann läuft es.
  • tun — Dies wird eine tunnel-Verbindung von der kompromittierten hosts, die aus der RDP-port (3389). Einige der aufgenommenen Proben wurden gefunden, um führen Sie eine umfassende Auswahl von Befehlen. Sie werden-Extrakt-and-drop und OpenSSH binäre, konfigurieren Sie den lokalen RDP-Warapper-Bibliothek-Software, und erstellen Sie einen zugeordneten Benutzernamen genannt “supportaccount” mit einem voreingestellten Passwort “Ghar4f5″. Diese Benutzer werden Hinzugefügt, um die “Remote Desktop Benutzer” und “Administratoren” – Gruppe. Spätere Versionen ersetzt diese third-party-app mit dem eingebauten Windows remote-desktop-Anwendung.
  • slp — Dies setzt ein hacker definierte sleep-Zeitlimit.
  • fox — Dieser wird Sie anweisen, die lokale Instanz zu kopieren Mozilla Firefox Benutzer-Profil.
  • chrome — Diese werden das gleiche für Google Chrome.
  • killtun — Dieser tötet einen aktiven SSH-tunnel-Prozess.
  • tunlist — Dieser Befehl listet alle aktiven SSH-Tunnel.
  • killalltuns — Tötet alle SSH-tunnel-Prozesse.
  • shell — Dies führt zu einem angegebenen shell-Befehl und senden Sie die Antwort auf die aktiven C&C server.
  • laden Sie — mit Diesem Befehl wird das herunterladen und ausführen einer ausführbaren Datei aus einer bestimmten URl. Die Ausgabe wird berichtet, die hacker-server gesteuert.
  • Socken — so erstellen Sie einen reverse-SSH-tunnel laufen zwischen den C&C-server und andere clients.
  • selfkill — Dies wird entfernen Sie die aktive malware auf die infizierten Maschinen.
  • loaddll — Dies ist sehr ähnlich zu “laden” aber für DLL-Dateien.
  • bk — Dies setzt den reverse-SSH-tunnel zu verwenden, ein C&C angegebenen remote-host anstelle des hartkodierten server.
  • hijack — mit Diesem Befehl wird entführen Sie ein Benutzer-Konto mit einer bekannten person. Dies geschieht durch erstellen einer Vorgabe batch-Datei, wird die Interaktion mit der Windows Registry und Geplante tasks service.
  • forcekill — Dies wird töten alle Prozesse mit Hilfe der Windows “taskkill” – Befehl.
  • sethijack — Diese Kontrolle wird ein built-in “alert” – Mechanismus. Dies erfolgt durch ein separates Programm, das überwacht das Benutzer-login-Ereignisse. Wenn ein berechtigter Benutzer meldet sich eine integrierte Verhaltens-Muster wird automatisch starten: “chrome” und “fox” – Befehle ausgeführt werden, werden die profile kopiert werden, um “supportaccount” Benutzer und Alarmierung der hacker-regler.
  • chromeport — Diese implementiert die gleiche Funktionalität wie “chrome”. Dies führt auch zu der “FlawedGrace” malware-Lieferung.

Die meisten der ServHelper Trojan liefern die FlawedGrace RATTE. Es ist eine Nutzlast, die geliefert wird, durch die Trojaner, die wirkt wie eine Pipette. Sobald es gestartet wird, eine integrierte Verhaltens-Muster gestartet werden. Es wird das erstellen, verschlüsseln und speichern Sie eine Konfigurationsdatei, die enthält Informationen über die hacker-server gesteuert. Die FlawedGrace RATTE verwendet eine separate binary-Protokoll für die Kommunikation, und Sie können einen anderen port für die Kommunikation definiert sich durch Ihre Controller. Der Standardwert ist 443.

Eine Liste der Befehle, die identifiziert wurden, von einer Netzwerk-Analyse ist die folgende:

Die Tatsache, dass die ServHelper Trojan und die damit verbundenen FlawedGrace RATTE sind gebündelt in den meisten Angriffs-Kampagnen zeigt, dass die Bedrohung der Schauspieler hinter es erlebt wird. Alle Liefer-Kampagnen so weit von Ziel-Unternehmen und nicht einzelne Benutzer. Wir erwarten, dass zukünftige Versionen entwickelt werden, die eine noch gefährlichere arsenal von bösartigen Aktionen.

Wenn Ihr computer-system infiziert wurde mit dem ServHelper Trojanhaben, sollten Sie ein wenig Erfahrung im entfernen von malware. Sie sollten loszuwerden, diese Trojan so schnell wie möglich, bevor Sie die chance haben, weiter zu verbreiten und infizieren andere Computer. Sie sollten entfernen Trojan und Folgen Sie den Schritt-für-Schritt-Anweisungen, die Führer unten bereitgestellt.

Achtung, mehrere Anti-Viren-Scanner möglich Malware in ServHelper Trojan gefunden.

Antiviren-SoftwareVersionErkennung
Malwarebytesv2013.10.29.10PUP.Optional.MalSign.Generic
Dr.WebAdware.Searcher.2467
ESET-NOD328894Win32/Wajam.A
McAfee5.600.0.1067Win32.Application.OptimizerPro.E
VIPRE Antivirus22702Wajam (fs)
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh
McAfee-GW-Edition2013Win32.Application.OptimizerPro.E
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.825
K7 AntiVirus9.179.12403Unwanted-Program ( 00454f261 )
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo
VIPRE Antivirus22224MalSign.Generic

Verhalten von ServHelper Trojan

  • Installiert sich ohne Berechtigungen
  • Ändert die Desktop- und Browser-Einstellungen.
  • Vertreibt selbst durch Pay-pro-Installation oder mit Drittanbieter-Software gebündelt.
  • ServHelper Trojan verbindet mit dem Internet ohne Ihre Erlaubnis
  • ServHelper Trojan zeigt kommerzielle Werbung
  • Bremst Internetverbindung
  • Leiten Sie Ihren Browser auf infizierten Seiten.
  • Zeigt gefälschte Sicherheitswarnungen, Popups und anzeigen.
Download-Tool zum EntfernenServHelper Trojan entfernen

ServHelper Trojan erfolgt Windows-Betriebssystemversionen

  • Windows 1031% 
  • Windows 841% 
  • Windows 725% 
  • Windows Vista5% 
  • Windows XP-2% 

ServHelper Trojan-Geographie

Zu beseitigen ServHelper Trojan von Windows

Löschen Sie ServHelper Trojan aus Windows XP:

  1. Klicken Sie auf Start , um das Menü zu öffnen.
  2. Wählen Sie Systemsteuerung und gehen Sie auf Software hinzufügen oder entfernen.win-xp-control-panel ServHelper Trojan
  3. Wählen und das unerwünschte Programm zu entfernen .

Entfernen ServHelper Trojan aus Ihren Windows 7 und Vista:

  1. Öffnen Sie im Startmenü , und wählen Sie Systemsteuerung.win7-control-panel ServHelper Trojan
  2. Verschieben Sie auf Programm deinstallieren
  3. Mit der rechten Maustaste auf die unerwünschten app und wählen deinstallieren.

Löschen ServHelper Trojan aus Windows 8 und 8.1:

  1. Mit der rechten Maustaste auf die linke untere Ecke und wählen Sie Systemsteuerung.win8-control-panel-search ServHelper Trojan
  2. Wählen Sie Programm deinstallieren und mit der rechten Maustaste auf die unerwünschten app.
  3. Klicken Sie auf deinstallieren .

ServHelper Trojan aus Ihrem Browser löschen

ServHelper Trojan Entfernung von Internet Explorer

  • Klicken Sie auf das Zahnradsymbol und wählen Sie Internetoptionen.
  • Gehen Sie auf die Registerkarte erweitert , und klicken Sie auf Zurücksetzen.reset-ie ServHelper Trojan
  • Überprüfen Sie die persönliche Einstellungen löschen und erneut auf Zurücksetzen .
  • Klicken Sie auf Schließen , und klicken Sie auf OK.
  • Gehen Sie zurück auf das Zahnrad-Symbol, wählen Sie Add-ons verwaltenSymbolleisten und Erweiterungenund Delete, die unerwünschte Erweiterungen.ie-addons ServHelper Trojan
  • Gehen Sie auf Suchanbieter und wählen Sie eine neue Standard- Suchmaschine

Löschen Sie ServHelper Trojan von Mozilla Firefox

  • Geben Sie im URL -Feld "about:addons".firefox-extensions ServHelper Trojan
  • Gehen Sie zu Extensions und löschen Sie verdächtige Browser-Erweiterungen
  • Klicken Sie auf das Menü, klicken Sie auf das Fragezeichen und öffnen Sie Firefox Hilfezu. Klicken Sie auf die Schaltfläche Firefox aktualisieren , und wählen Sie Aktualisieren Firefox zu bestätigen.firefox_reset ServHelper Trojan

Beenden Sie ServHelper Trojan von Chrome

  • Geben Sie "chrome://extensions" in das URL -Feld und tippen Sie auf die EINGABETASTE.extensions-chrome ServHelper Trojan
  • Beenden von unzuverlässigen Browser- Erweiterungen
  • Starten Sie Google Chrome.chrome-advanced ServHelper Trojan
  • Öffnen Sie Chrome-Menü zu, klicken Sie Einstellungen → Erweiterte anzeigen Einstellungen wählen Sie Reset Browser-Einstellungen und klicken Sie auf Zurücksetzen (optional).
Download-Tool zum EntfernenServHelper Trojan entfernen