Como eliminar ServHelper Trojan

El ServHelper Trojan es un arma peligrosa utilizado en contra de los usuarios de computadoras en todo el mundo. Infecta principalmente a través de phishing, los mensajes de correo electrónico. Nuestro artículo se da una visión general de su comportamiento de acuerdo a la recogida de muestras y los informes disponibles, también puede ser útil en el intento de eliminar el virus.

El ServHelper Trojan es un activo de la puerta trasera de malware que utiliza un complejo método de infección para entregar otra amenaza llamada “FlawedGrace”. Los primeros ejemplos en el ataque de la campaña fueron identificadas en noviembre de 2018, cuando los signos de sus muestras fueron detectados.

virus-16

La infección inicial se realiza a través de un pequeño de tamaño de correo electrónico campaña de phishing dirigidos a instituciones financieras. Se plantea como la comunicación interna, servicio de notificaciones o mensajes de otros que eran muy propensos a ser abiertos por los destinatarios. Su incluirá los documentos adjuntos de todos los formatos populares: rica en documentos de texto, hojas de cálculo, bases de datos y presentaciones. Tan pronto como se abren por las víctimas aparecerá un mensaje pidiendo que permiten la incorporada en secuencias de comandos. Esto conducirá a la carga de la entrega.

La próxima campaña se dirigió a la industria al por menor con una combinación de diversos accesorios, a saber “.doc”, “.pub”, o “.wiz”.

De diciembre de 2018, vi otra versión de la ServHelper Trojan esta vez utilizando una mezcla de diversas técnicas — no sólo la suplantación de documentos, sino también en PDF los mensajes que contienen enlaces a sitios maliciosos se describe como “Adobe PDF plugins”. El contenido de los mensajes de correo electrónico también puede contener enlaces directos a los archivos de virus. Los archivos PDF que están siendo distribuidos a obligar a los usuarios a creer que la necesidad de descargar una nueva versión de la aplicación Adobe Reader para ver correctamente. Se muestran los enlaces a las peligrosas tensiones.

Esto significa que es muy posible que otros métodos de entrega para ser utilizado así:

  • Paquete de Instaladores — Los delincuentes pueden intento de crear archivos de instalación de software populares que contienen el código del virus. Esto se hace tomando los archivos legítimos de sus fuentes oficiales, incluyendo las instrucciones necesarias. Las opciones populares incluyen utilidades del sistema, la creatividad suites, la productividad y las aplicaciones de office, etc.
  • Sitios de Malware — Los hackers pueden crear sitios de phishing que imitar conocidos portales de descarga de producto, páginas de aterrizaje, los motores de búsqueda y otros. Se realiza mediante un sonido similar de los nombres de dominio y certificados de seguridad que puede ser de auto-firmado o comprar de autoridades de certificación mediante falsificación o robo de credenciales.
  • Los Secuestradores de navegador — Que representan plugins maliciosas que se hacen compatibles con los navegadores web más populares. Estos casos se pueden encontrar principalmente en los correspondientes repositorios de ser publicado con falsos comentarios de usuarios y desarrolladores de la información. La publicación de las descripciones se prometen nuevas características y optimizaciones de rendimiento. Al mismo tiempo, tan pronto como se instala importante, pueden producirse cambios en los navegadores — la modificación de la configuración como la predeterminada de la página de inicio, motor de búsqueda y página de nuevas pestañas. Esto se hace con el fin de redirigir a las víctimas a un prediseñados hacker-controlado de la página.
  • Redes de Intercambio de archivos — Los archivos también pueden ser compartidos en redes como BitTorrent, donde los usuarios de Internet activamente post legítima y contenidos pirata.

Como las campañas de progreso más anticipamos que las nuevas campañas de phishing, que será lanzada como el malware en sí está actualizado.

Tan pronto como el ServHelper Trojan ha infectado a los anfitriones se pondrá en marcha un modelo de comportamiento basado en la configuración actual. El motor principal está escrito en Delphi que significa que el código fuente puede ser modificado fácilmente entre las iteraciones.

Casi todos ellos al instante establecer un local de Troya cliente , permitiendo a los atacantes para establecer una conexión segura a sus propios servidores. El “túnel” de la versión de la ServHelper Trojan configurar un inversa túnel SSH. Esto significa que los delincuentes serán capaces de usar software Escritorio Remoto para acceder a los ordenadores infectados. Tan pronto como este es de hecho el motor de malware automáticamente analizar el sistema y localizar todas las cuentas de usuario. Van a ser secuestrado, así como cualquier almacenados navegador web credenciales. Esto significa que el ServHelper Trojan puede acceder a todos los parámetros importantes de los navegadores web más populares:

  • Las Cookies
  • Configuración
  • Marcadores
  • La historia
  • Almacena Las Preferencias Del Sitio
  • Almacena Las Credenciales De La Cuenta

Todas las variantes conocidas de la Troya utilizar el puerto 443 que se utilizan para sesiones HTTPS y 80, lo que es normal en la web de la página del servidor de entrega. De un administrador de red la perspectiva de las máquinas comprometidas enviará el tráfico legítimo como algunas aplicaciones de escritorio remoto puede enrutar el tráfico a través de estos puertos.

La mayoría de los hackers-controlado de servidores se encuentra en “.pw” dominios de nivel superior que puede ser un signo de alerta para los administradores. Algunas de las versiones posteriores también cuentan con algunos dominios de nivel superior de la “.poco” tipo que también están asociados con la Namecoin cryptocurrency.

El POST de la información contenida en los servidores de comando y control se han encontrado para la señal codificada parámetros: “clave” que representa la IDENTIFICACIÓN de la amenaza que está codificado en cada uno de los virus de la versión. El “sysid” parámetro mostrará el IDENTIFICADOR único que se genera para cada host diferente. La captura de muestras de uso de un algoritmo que utiliza los siguientes datos como valores de entrada: ID de campaña, Windows versión, la arquitectura del Sistema, el nombre de usuario y un entero aleatorio. Un tercer parámetro que se llama “resp” contiene las respuestas de los hackers de los controladores.

Una lista de todos los comandos disponibles, que han sido capturados de la red de análisis revela los siguientes arsenal:

  • nop — Esto permitirá un keep-alive funcionalidad que constantemente sonda de la conexión de red con el fin de que siga funcionando.
  • tun — Esto configura un túnel de conexión de las máquinas comprometidas procedentes de la RDP (puerto 3389). Algunos de los capturados muestras se han encontrado para ejecutar una amplia variedad de comandos. Se va a extraer y colocar y OpenSSH binario, configurar el local RDP Warapper Biblioteca de Software y crear un nombre de usuario asociado llamado “supportaccount” con una contraseña preestablecida de “Ghar4f5″. Este usuario, serán incorporados a los “Usuarios de Escritorio Remoto” y “Administradores” de los grupos. Las versiones posteriores reemplazará esta tercera parte de la aplicación con la incorporada en el Windows aplicación de escritorio remoto.
  • slp — Este será un hacker definido por el sueño de tiempo de espera.
  • fox — Esto indicará la instancia local para copiar el Mozilla Firefox perfil de usuario.
  • chrome — Esto va a hacer lo mismo para Google Chrome.
  • killtun — Esto va a matar a un activo túnel SSH proceso.
  • tunlist — Este comando mostrará la lista de todos los activos de tuneles SSH.
  • killalltuns — Mata a todos túnel SSH procesos.
  • shell — Esto va a ejecutar un shell de comandos y enviar la respuesta al activo C&C del servidor.
  • carga — Este comando descargar y ejecutar un archivo ejecutable a partir de una dirección URl específica. La salida será reportado a la hacker controlados por el servidor.
  • calcetines — Esto va a crear un inversa túnel SSH que se ejecutará entre el C&C del servidor y otros clientes.
  • selfkill — Esto va a eliminar el malware activo de los equipos infectados.
  • loaddll — Esto es muy similar a la “carga”, pero para archivos DLL.
  • bk — Esto va a establecer la inversa túnel SSH para el uso de C&C de host remoto especificado lugar de los fuertes del servidor.
  • secuestrar — Este comando se apropien de una determinada cuenta de usuario con una persona conocida. Esto se hace mediante la creación de un ajuste preestablecido de archivo de proceso por lotes que van a interactuar con el Windows Registro y tareas Programadas de servicio.
  • forcekill — Esto va a matar a todos los procesos mediante la Windows “taskkill” de comandos.
  • sethijack — Esta voluntad de control integrado en “alerta” mecanismo. Esto se hace mediante un programa independiente que monitorea los eventos de inicio de sesión de usuario. Cuando un usuario legítimo registros incorporado un patrón de comportamiento se iniciará automáticamente: el “chrome” y “fox” comandos se ejecutan, los perfiles serán copiados a la “supportaccount de usuario” y alerta de que el hacker de los controladores.
  • chromeport — Esto implementa la misma funcionalidad como “chrome”. Esto también dará lugar a la “FlawedGrace” de distribución de malware.

La mayoría de los ServHelper Trojan objetivo es entregar el FlawedGrace de RATA. Es una carga que se entrega a través de la Troyano que actúa como un gotero. Tan pronto como se puso en marcha un built-en el patrón de comportamiento se pondrá en marcha. Se va a crear, codificar y almacenar un archivo de configuración que contiene información sobre el hacker controlados por el servidor. El FlawedGrace RATA utiliza un binario independiente de protocolo para las comunicaciones y se puede utilizar un puerto diferente para la comunicación, como se define por sus controladores. El defecto es el 443.

Una lista de los comandos que han sido identificados a partir de un análisis de red es la siguiente:

El hecho de que el ServHelper Trojan y los asociados FlawedGrace RATA se juntan en la mayoría de las campañas de ataque muestra que la amenaza actor detrás es experimentado. Todas las entregas de las campañas hasta el momento de destino de las empresas y no a los usuarios individuales. Anticipamos que las futuras versiones será desarrollado teniendo un lugar aún más peligroso arsenal de acciones maliciosas.

Si el sistema de su ordenador se infectó con el ServHelper Trojan, usted debe tener un poco de experiencia en la eliminación de malware. Usted debe deshacerse de este Trojan tan rápidamente como sea posible antes de que puedan tener la oportunidad de difundir más y infectar a otros ordenadores. Usted debe eliminar el Troyano y siga paso a paso las instrucciones de la guía proporcionada a continuación.

ADVERTENCIA, varios escáneres anti-virus han detectado posible malware en ServHelper Trojan.

El Software antivirusVersiónDetección
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.bpjlwd
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)
Malwarebytes1.75.0.1PUP.Optional.Wajam.A
Dr.WebAdware.Searcher.2467
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo
VIPRE Antivirus22702Wajam (fs)
McAfee5.600.0.1067Win32.Application.OptimizerPro.E
ESET-NOD328894Win32/Wajam.A
Malwarebytesv2013.10.29.10PUP.Optional.MalSign.Generic
McAfee-GW-Edition2013Win32.Application.OptimizerPro.E

Comportamiento de ServHelper Trojan

  • Se distribuye a través de pay-per-install o está incluido con el software de terceros.
  • ServHelper Trojan se conecta a internet sin su permiso
  • Redirigir el navegador a páginas infectadas.
  • Cambia la página de inicio del usuario
  • Comportamiento común de ServHelper Trojan y algún otro texto emplaining som info relacionadas al comportamiento
  • ServHelper Trojan desactiva el Software de seguridad instalado.
  • Se integra en el navegador web de la extensión del navegador de ServHelper Trojan
  • Roba o utiliza sus datos confidenciales
  • Se ralentiza la conexión a internet
  • Modifica el escritorio y la configuración del navegador.
  • Se instala sin permisos
  • ServHelper Trojan muestra anuncios comerciales
Descargar herramienta de eliminación depara eliminar ServHelper Trojan

ServHelper Trojan efectuado versiones del sistema operativo Windows

  • Windows 1022% 
  • Windows 840% 
  • Windows 722% 
  • Windows Vista8% 
  • Windows XP8% 

Geografía de ServHelper Trojan

Eliminar ServHelper Trojan de Windows

Borrar ServHelper Trojan de Windows XP:

  1. Haz clic en Inicio para abrir el menú.
  2. Seleccione Panel de Control y vaya a Agregar o quitar programas.win-xp-control-panel ServHelper Trojan
  3. Seleccionar y eliminar programas no deseados.

Quitar ServHelper Trojan de su Windows 7 y Vista:

  1. Abrir menú de Inicio y seleccione Panel de Control.win7-control-panel ServHelper Trojan
  2. Mover a desinstalar un programa
  3. Haga clic derecho en la aplicación no deseada y elegir desinstalar.

Erase ServHelper Trojan de Windows 8 y 8.1:

  1. Haga clic en la esquina inferior izquierda y selecciona Panel de Control.win8-control-panel-search ServHelper Trojan
  2. Seleccione desinstalar un programa y haga clic derecho en la aplicación no deseada.
  3. Haga clic en desinstalar .

Borrar ServHelper Trojan de su navegador

ServHelper Trojan Retiro de Internet Explorer

  • Haga clic en el icono de engranaje y seleccione Opciones de Internet.
  • Ir a la pestaña Opciones avanzadas y haga clic en restablecer.reset-ie ServHelper Trojan
  • Compruebe Eliminar configuración personal y hacer clic en restablecer .
  • Haga clic en cerrar y seleccione Aceptar.
  • Ir al icono de engranaje, elija Administrar complementosbarras de herramientas y extensionesy eliminar no deseados extensiones.ie-addons ServHelper Trojan
  • Ir a Proveedores de búsqueda y elija un nuevo defecto motor de búsqueda

Borrar ServHelper Trojan de Mozilla Firefox

  • Introduzca "about:addons" en el campo de URL .firefox-extensions ServHelper Trojan
  • Ir a extensiones y eliminar extensiones de explorador sospechosos
  • Haga clic en el menú, haga clic en el signo de interrogación y abrir la ayuda de Firefox. Haga clic en la actualización botón Firefox y seleccione Actualizar Firefox a confirmar.firefox_reset ServHelper Trojan

Terminar ServHelper Trojan de Chrome

  • Escriba "chrome://extensions" en el campo URL y pulse Enter.extensions-chrome ServHelper Trojan
  • Terminar el navegador fiable extensiones
  • Reiniciar Google Chrome.chrome-advanced ServHelper Trojan
  • Abrir menú Chrome, haga clic en ajustes → Mostrar avanzada, seleccione restablecer configuración del explorador y haga clic en restaurar (opcional).
Descargar herramienta de eliminación depara eliminar ServHelper Trojan