Hvordan fjerner ServHelper Trojan

Den ServHelper Trojan er et farligt våben, der anvendes mod computer-brugere over hele verden. Det smitter primært via phishing-e-mail-beskeder. Vores artikel giver et overblik over sin adfærd i henhold til de indsamlede prøver og tilgængelige rapporter, også kan det være nyttigt at forsøge at fjerne virus.

Den ServHelper Trojan er en aktiv bagdør for malware, der bruger en meget kompleks infektion metode til at levere en anden trussel, der hedder “FlawedGrace”. De første tilfælde af angreb kampagne blev identificeret tilbage i November 2018, når tegnene på sine prøver, der blev registreret.

virus-16

Den første infektion blev gjort via en lille størrelse e-mail-phishing-kampagne, der er målrettet finansielle institutioner. De stillede som intern kommunikation, service-meddelelser eller andre meddelelser, der er meget tilbøjelige til at blive åbnet af modtagerne. Deres vil medtage vedhæftede dokumenter af alle populære formater: rig tekst-dokumenter, regneark, databaser og præsentationer. Så snart de åbnes af de ofre, vises en meddelelse, der beder dem om at aktivere den indbyggede scripts. Dette vil føre til, at nyttelasten levering.

Den næste kampagne, der er målrettet detailhandlen med en kombination af forskellige vedhæftede filer, nemlig “.doc”, “.pub”, eller “.wiz”.

December 2018, så en anden udgave af den ServHelper Trojan denne gang ved hjælp af en blanding af forskellige teknikker — ikke kun phishing-dokumenter, men også PDF-beskeder, der indeholder links til ondsindede websteder, der er beskrevet som “Adobe PDF-plugins”. Kroppen indholdet af e-mails kan også indeholde direkte links til virus filer. De PDF-filer, der er ved at blive fordelt tvinge brugere til at tro, at de er nødt til at downloade en ny version af Adobe Reader for at kunne vises korrekt. De er vist links til de farlige stammer.

Dette betyder, at det er meget muligt for andre leveringsmetoder til at være så godt bruges:

  • Bundle-Installatører, — De kriminelle kan forsøge at skabe setup filer af populære software, der indeholder virus-kode. Dette er gjort ved at tage de legitime filer fra deres officielle kilder, og herunder de nødvendige instrukser. Populære valg omfatter system utilities, kreativitet suites, produktivitet og office apps og osv.
  • Malware Sites — hackere kan oprette phishing-websteder, der efterligner velkendte download-portaler, produkt, landing pages, søgemaskiner og andre. De er lavet ved hjælp ligende domænenavne og sikkerhed-certifikater, hvor der kan være enten self-signed eller købt fra certifikat myndigheder ved hjælp af falske eller stjålne legitimationsoplysninger.
  • Browser Hijackers — De repræsenterer ondsindede plugins, der er kompatibelt med de mest populære web browsere. Disse forekomster kan for det meste findes på de relevante arkiver bliver sendt sammen med falske brugeranmeldelser og udvikler oplysninger. Den udstationerede beskrivelser vil løfte har tilføjelser og performance optimeringer. På samme tid, så snart de er installeret vigtige ændringer kan forekomme, at den browsere — ændring af indstillinger som standard hjemmeside, søgemaskine og nye faner. Dette er gjort med henblik på at omdirigere ofre til en forhåndsudformede hacker-kontrolleret side.
  • Fil-Deling af Netværk — filer kan også blive delt på netværk som BitTorrent, hvor Internet-brugere aktivt post både legitime og pirat-indhold.

De kampagner, yderligere fremskridt, som vi forventer, at nye phishing-kampagner vil blive lanceret som malware i sig selv er opdateret.

Så snart ServHelper Trojan har inficeret hosts, at det vil lancere en adfærd, der er baseret på den aktuelle konfiguration. Den vigtigste motor i sig selv er skrevet i Delphi, som betyder, at kildekoden kan nemt ændres mellem iterationer.

Næsten alle af dem vil straks oprette en lokal Trojan klient giver fjernangribere at oprette en sikker forbindelse til deres egne servere. “Tunnel” version af ServHelper Trojan vil konfigurere en omvendt SSH-tunnel. Dette betyder, at de kriminelle vil være i stand til at bruge fælles Remote Desktop software for at få adgang til de inficerede computere. Så snart dette er gjort for malware motor vil automatisk analysere systemet og find alle brugerkonti. De vil blive kapret, samt enhver, der er gemt web browser legitimationsoplysninger. Dette betyder, at ServHelper Trojan kan få adgang til alle vigtige parametre af de mest populære web browsere:

  • Cookies
  • Indstillinger
  • Bogmærker
  • Historie
  • Gemt Site Præferencer
  • Gemt Konto Legitimationsoplysninger

Alle kendte varianter af den Trojanske bruge port 443, der bruges til HTTPS-sessioner og 80, som er den normale web-server-side levering. Fra en network administrator ‘ s perspektiv den inficerede maskiner vil sende legitim trafik som nogle remote desktop applikationer kan route trafik gennem disse porte.

De fleste af hacker-kontrollerede servere er placeret på “.pw” top-level-domæner, som kan være et advarselssignal for administratorer. Nogle af de senere versioner også har nogle domæner på øverste niveau “.smule” type, som også er forbundet med Namecoin cryptocurrency.

STILLINGEN oplysninger, der er indeholdt i kommando-og kontrol-serverne er blevet konstateret, at signalet er kodet parametre: “nøgle” , som repræsenterer de ID ‘ et for den trussel, som den er hardcoded i hver enkelt virus version. Den “sysid” parameter vil vise det unikke ID, som er genereret for hver anden vært. De tagne prøver, der bruger en algoritme, som anvender følgende data som input værdier: kampagne-ID, Windows version, System arkitektur, brugernavn og et tilfældigt heltal. En tredje parameter, kaldet “hhv” indeholder svar fra hacker-controllere.

En liste over alle kommandoer, der har været fanget fra live-netværk-analyse afslører følgende arsenal:

  • nop — Dette vil gøre det muligt for en keep-alive-funktion, der konstant vil sonden netværksforbindelsen for at holde det kørende.
  • tun — Dette vil oprette en tunnel-forbindelse fra inficerede værter, der stammer fra RDP-port (3389). Nogle af de tagne prøver, der er blevet fundet til at køre en omfattende vifte af kommandoer. De vil trække og slippe og OpenSSH-binære, skal du konfigurere den lokale RDP Warapper Bibliotek Software og oprette en tilknyttet brugernavn kaldet “supportaccount” med en forudindstillet adgangskode “Ghar4f5″. Denne bruger vil blive føjet til “Remote Desktop Users” og “Administratorer” – grupper. Senere versioner vil erstatte denne tredjeparts-app med den indbyggede Windows remote desktop ansøgning.
  • slp — Dette vil sætte en hacker-definerede timeout.
  • fox — Dette vil instruere den lokale instans til at kopiere Mozilla Firefox brugerprofil.
  • chrome — Dette vil gøre det samme for Google Chrome.
  • killtun — Dette vil dræbe en aktiv SSH-tunnel proces.
  • tunlist — Denne kommando vil vise en liste over alle aktive SSH tunneler.
  • killalltuns — Dræber alle SSH-tunnel processer.
  • shell — Dette vil udføre en given shell-kommandoen og sende svaret til den aktive C&C server.
  • læg — Denne kommando vil hente og køre en eksekverbar til fra en bestemt Webadresse. Output vil blive indberettet til hacker-kontrolleret server.
  • sokker — Dette vil skabe en omvendt SSH tunnel, der skal køre mellem C&C server og andre kunder.
  • selfkill — Dette vil fjerne de aktive malware fra inficerede maskiner.
  • loaddll — Dette er meget lig “load”, men for DLL-filer.
  • bk — Dette vil indstille reverse SSH-tunnel for at bruge en C&C angivne eksterne vært i stedet for den indbyggede server.
  • kapre — Denne kommando vil kapre en given bruger-konto med en kendt person. Dette gøres ved at oprette en forudindstilling batch-fil, som vil interagere med Windows Registreringsdatabasen og Planlagte opgaver service.
  • forcekill — Dette vil dræbe alle processer ved hjælp af Windows “taskkill” kommando.
  • sethijack — Dette vil styre en indbygget “alert” – mekanisme. Dette er gjort af et separat program, der overvåger bruger login begivenheder. Når en legitim bruger logger en indbygget adfærd, vil den automatisk starte: “chrome” og “fox” – kommandoer vil blive kørt, de profiler, der vil blive kopieret til “supportaccount” bruger og alarmering hacker-controllere.
  • chromeport — Dette implementerer den samme funktionalitet som “chrome”. Dette vil også føre til “FlawedGrace” malware levering.

De fleste af de ServHelper Trojan har til formål at levere FlawedGrace ROTTE. Det er en nyttelast, der er leveret gennem den Trojanske hest, der fungerer som en dråbetæller. Så snart den er lanceret en indbygget adfærd, vil blive startet. Det vil skabe, kryptere og gemme en konfiguration fil, der indeholder oplysninger om hacker-kontrolleret server. Den FlawedGrace ROTTE, der bruger en separat binær protokol for kommunikation og it, kan bruge en anden port for kommunikation, som defineret af dens controllere. Default er 443.

En liste over de kommandoer, der er blevet identificeret fra et netværk analyse er følgende:

Det faktum, at ServHelper Trojan og de tilknyttede FlawedGrace ROTTE, der er samlet i de fleste af de angreb kampagner viser, at truslen skuespiller bag det opleves. Alle levering kampagner så langt target virksomheder, og ikke de enkelte brugere. Vi forventer, at fremtidige versioner vil blive udviklet med en endnu mere farlig arsenal af skadelige handlinger.

Hvis din computer fik inficeret med ServHelper Trojan, bør du have en smule erfaring i fjernelse af malware. Du skal slippe af med denne Trojanske så hurtigt som muligt, før det kan have mulighed for at sprede sig yderligere, og at inficere andre computere. Du bør fjerne den Trojanske hest og følge trin-for-trin instruktioner guide nedenfor.

Advarsel, har flere anti-virus scannere fundet mulige malware i ServHelper Trojan.

Anti-virus SoftwareVersionAfsløring
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.825
VIPRE Antivirus22224MalSign.Generic
Malwarebytesv2013.10.29.10PUP.Optional.MalSign.Generic
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.bpjlwd
Malwarebytes1.75.0.1PUP.Optional.Wajam.A
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh
VIPRE Antivirus22702Wajam (fs)
ESET-NOD328894Win32/Wajam.A
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)
McAfee5.600.0.1067Win32.Application.OptimizerPro.E
Dr.WebAdware.Searcher.2467

ServHelper Trojan adfærd

  • Integrerer i webbrowser via browserudvidelse ServHelper Trojan
  • ServHelper Trojan deaktiveres installeret sikkerhedssoftware.
  • Indlægger sig uden tilladelser
  • Ændrer skrivebordet og Browser-indstillingerne.
  • Bremser internetforbindelse
  • Omdirigere browseren til inficerede sider.
  • Ændrer brugerens hjemmeside
  • Fordeler sig gennem pay-per-install eller er bundlet med software fra tredjepart.
  • ServHelper Trojan viser kommercielle annoncer
  • Fælles ServHelper Trojan adfærd og nogle andre tekst emplaining som info relateret til adfærd
  • Viser falske sikkerhedsadvarsler, Pop-ups og annoncer.
  • Stjæler eller bruger dine fortrolige Data
  • ServHelper Trojan forbinder til internettet uden din tilladelse
Download værktøj til fjernelse affjerne ServHelper Trojan

ServHelper Trojan foretages Windows OS-versioner

  • Windows 1025% 
  • Windows 829% 
  • Windows 719% 
  • Windows Vista3% 
  • Windows XP24% 

ServHelper Trojan geografi

Fjerne ServHelper Trojan fra Windows

Slette ServHelper Trojan fra Windows XP:

  1. Klik på Start til at åbne menuen.
  2. Vælg Control Panel og gå til Tilføj eller fjern programmer.win-xp-control-panel ServHelper Trojan
  3. Vælg og fjerne det uønskede program.

Fjern ServHelper Trojan fra din Windows 7 og Vista:

  1. Åbn menuen Start og vælg Control Panel.win7-control-panel ServHelper Trojan
  2. Flytte til Fjern et program
  3. Højreklik på den uønskede app og vælge afinstallere.

Slette ServHelper Trojan fra Windows 8 og 8.1:

  1. Højreklik på den nederste venstre hjørne og vælg Kontrolpanel.win8-control-panel-search ServHelper Trojan
  2. Vælg Fjern et program og Højreklik på den uønskede app.
  3. Klik på Afinstaller .

Slette ServHelper Trojan fra din browsere

ServHelper Trojan Fjernelse fra Internet Explorer

  • Klik på tandhjulsikonet , og vælg Internetindstillinger.
  • Gå til fanen Avanceret , og klik på Nulstil.reset-ie ServHelper Trojan
  • Kontrollere Slet personlige indstillinger og klikke på Nulstil igen.
  • Klik på Luk og vælge OK.
  • Gå tilbage til tandhjulsikonet, vælge Administrer tilføjelsesprogrammerværktøjslinjer og udvidelser, og Slet uønskede udvidelser.ie-addons ServHelper Trojan
  • Gå til Søgemaskiner og vælge en ny standard søgemaskine

Slette ServHelper Trojan fra Mozilla Firefox

  • Indtast "about:addons" i URL- feltet.firefox-extensions ServHelper Trojan
  • Gå til udvidelser og fjerne mistænkelige browserudvidelser
  • Klik på menuen, skal du klikke på spørgsmålstegnet og åbne Firefox hjælp. Klik på Opdater Firefox knappen og vælg Opdater Firefox at bekræfte.firefox_reset ServHelper Trojan

Opsige ServHelper Trojan fra Chrome

  • Skrive "chrome://extensions" i URL- feltet og tryk på Enter.extensions-chrome ServHelper Trojan
  • Opsige upålidelige browser extensions
  • Genstart Google Chrome.chrome-advanced ServHelper Trojan
  • Åbne Chrome menu, klik på Indstillinger → Vis avancerede indstillinger, Vælg Nulstil webbrowserindstillinger og klikke på Nulstil (valgfrit).
Download værktøj til fjernelse affjerne ServHelper Trojan