ServHelper Trojan poisto

Se ServHelper Trojan on vaarallinen ase, jota käytetään vastaan tietokoneen käyttäjiä maailmanlaajuisesti. Se tarttuu pääasiassa kautta phishing email messages. Meidän artikkeli antaa yleiskuvan sen käyttäytymistä mukaan kerätyt näytteet ja käytettävissä olevat raportit, myös se voi olla hyödyllistä yrittää poistaa viruksen.

Se ServHelper Trojan on aktiivinen virus malware joka käyttää erittäin monimutkainen infektio menetelmä antaa toinen uhka nimeltään ”FlawedGrace”. Ensimmäiset esiintymät hyökkäys kampanja tunnistettiin jo marraskuussa 2018, kun merkkejä sen näytteet olivat havaita.

virus-16

Alkuperäinen infektio oli tehnyt kautta pieni-kokoinen sähköposti phishing-kampanja, joka oli suunnattu rahoituslaitoksille. He esiintyivät sisäinen viestintä, palvelu, ilmoituksia tai muita viestejä, jotka olivat hyvin todennäköisesti avataan vastaanottajille. Niiden kuuluu niihin liitetyt asiakirjat kaikista suosituimpia tiedostomuotoja: rich text asiakirjat, taulukkolaskenta, tietokannat ja esityksiä. Heti, kun ne avataan uhreja sinulta kysytään niitä, jotta sisäänrakennettu skriptit. Tämä johtaa hyötykuorma toimitus.

Seuraava kampanja on suunnattu vähittäiskaupan yhdistelmä erilaisia liitteitä, eli ”.doc”, ”.pub”, tai ”.wiz”.

Joulukuuta 2018 näki toisen julkaisun ServHelper Trojan tällä kertaa käyttämällä yhdistelmä eri tekniikoita — ei vain phishing-asiakirjoja, mutta myös PDF-viestejä, jotka sisältävät linkkejä haittaohjelmia sivustoja kuvattu ”Adobe PDF plugins”. Kehon sisältö sähköposti-viestit voivat myös sisältää suoria linkkejä virus tiedostoja. PDF-tiedostoja, joita jaetaan pakottaa käyttäjät uskomaan, että heidän täytyy ladata uusi versio Adobe Reader-sovellus, jotta oikein nähdä. He ovat osoittaneet, linkkejä vaarallisia kantoja.

Tämä tarkoittaa, että se on hyvin mahdollista, että muut toimitus menetelmiä voidaan käyttää yhtä hyvin:

  • Nippu Asentajat — rikolliset voivat yrittää luoda asennustiedostot suosittu ohjelmisto, joka sisältää virus-koodi. Tämä tapahtuu ottamalla laillisia tiedostoja niiden virallisista lähteistä ja myös tarvittavat ohjeet. Suosittuja valintoja ovat järjestelmän apuohjelmat, luovuutta suites, tuottavuus ja office-sovellukset ja jne.
  • Haittaohjelmia Sivustoja — hakkerit voivat luoda phishing sivustoja, jotka muistuttavat tunnettuja lataa portaaleja, tuotteiden aloitussivuja, hakukoneet ja muut. Ne on valmistettu käyttämällä samanlaisia kuulostava verkkotunnuksia ja varmenteita, jotka voivat olla joko itse allekirjoitetun tai ostaa todistus viranomaiset käyttävät väärennettyjä tai varastettuja tunnuksia.
  • Selaimen Kaappaajia — He edustavat haittaohjelmia plugins, jotka ovat yhteensopivia suosituin internet-selaimet. Näissä tapauksissa voi enimmäkseen löytyvät asiaankuuluvat arkistot on lähetetty fake käyttäjän arvostelua ja kehittäjä tietoa. Lähetetty kuvaukset lupaavat ominaisuus lisäyksiä ja parannuksia suorituskykyyn. Samalla heti, kun ne on asennettu tärkeitä muutoksia voi tapahtua selaimet — muuttaminen asetuksia, kuten oletuksena kotisivun, hakukoneen ja uuden välilehden sivun. Tämä tehdään, jotta voidaan ohjata uhreja, ennalta hakkeri-ohjattu sivulta.
  • Tiedostonjako-Verkoissa — tiedostot voidaan myös jakaa verkkoja, kuten BitTorrent, jossa Internetin käyttäjät aktiivisesti viesti oikeutettu ja merirosvo sisältöä.

Koska kampanjoiden edistymistä edelleen odotamme, että uusi phishing-kampanjoita on käynnistetty haittaohjelma itse on päivitetty.

Heti ServHelper Trojan on tartunnan isäntien se käynnistää käyttäytymismalli, joka perustuu nykyisen kokoonpanon. Tärkein moottori itsessään on kirjoitettu Delphi mikä tarkoittaa, että lähdekoodi voi helposti muuttaa välillä toistojen.

Lähes kaikki niistä on heti perustaa paikallinen Trojan client jonka avulla hyökkääjät perustaa suojatun yhteyden omiin palvelimiin. ”Tunneli” versio ServHelper Trojan määrittää käänteinen SSH-tunneli. Tämä tarkoittaa sitä, että rikolliset voivat käyttää yhteisiä Remote Desktop-ohjelmisto, jotta voit käyttää tartunnan saaneita tietokoneita. Heti kun tämä on tehty malware moottori automaattisesti analysoida järjestelmän ja löytää kaikki käyttäjätilit. Ne on kaapattu, samoin kuin kaikki tallennetut web-selaimen tunnistetietoja. Tämä tarkoittaa sitä, että ServHelper Trojan voivat käyttää kaikki tärkeät parametrit suosituin web-selaimet:

  • Evästeet
  • Asetukset
  • Kirjanmerkit
  • Historia
  • Tallennetaan Sivuston Asetukset
  • Tallennettu Tilin Käyttäjätiedot

Kaikki tunnettuja variantteja Troijan käyttää porttia 443, joka käytetään HTTPS istuntoja ja 80, joka on normaalille web-palvelimen sivun toimitus. Verkon ylläpitäjän näkökulmasta vaarantunut koneita lähettää laillista liikennettä, kuten jotkut remote desktop sovelluksia voi reitittää liikennettä kautta nämä portit.

Useimmat hacker-ohjattu palvelimet sijaitsevat ”.pw” top-level domain, joka voi olla varoitus merkki ylläpitäjät. Jotkut uudemmat versiot myös ominaisuus joitakin top-level domain ”.vähän” tyyppi joka liittyy myös Namecoin kryptovaluutta.

POST tiedot komento-ja valvonta palvelimia on havaittu signaali koodattuja parametreja: ”avain” , joka edustaa ID uhka, joka on kovakoodattu jokaisessa erillisessä virus-versio. Että ”sysid” parametri näyttää ainutlaatuinen TUNNUS, joka on luotu jokaiselle eri isäntä. Otetut näytteet käyttävät algoritmia, joka käyttää seuraavia tietoja, kuten input arvot: kampanjan TUNNUS, Windows versio, Järjestelmä-arkkitehtuuri, käyttäjätunnus ja satunnainen kokonaisluku. Kolmas parametri nimeltä ”resp” sisältää vastauksia hacker-ohjaimet.

Luettelo kaikista käytettävissä olevista komennoista, jotka on kaapattu live-verkosto analyysi paljastaa seuraavat arsenaali:

  • nop — Tämä mahdollistaa keep-alive-toiminto, joka jatkuvasti koetin verkko-yhteys, jotta voit pitää sen käynnissä.
  • tun — Tämä asettaa tunnelin yhteyden vaarantunut isännät peräisin RDP-portti (3389). Jotkut otetut näytteet on todettu ajaa laaja valikoima komentoja. Ne poimia ja pudota ja OpenSSH-binary, määrittää paikallisen RDP Warapper Library-Ohjelmisto ja luoda yhdistetty käyttäjätunnus nimeltään ”supportaccount” tallennetut salasanat ”Ghar4f5″. Tämä käyttäjä lisätään ”Remote Desktop Käyttäjät” ja ”Ylläpitäjät” ryhmiä. Myöhemmin versiot korvaa kolmannen osapuolen app kanssa sisäänrakennettu Windows remote desktop sovellus.
  • slp — Tämä asettaa hakkeri määritelty lepotilan aikakatkaisu.
  • fox — Tämä neuvoo paikallisia esimerkiksi kopioida Mozilla Firefox käyttäjän profiili.
  • chrome — Tämä tekee saman Google Chrome.
  • killtun — Tämä tappaa aktiivisen SSH-tunnelin prosessi.
  • tunlist — Tämä komento listaa kaikki aktiiviset SSH-tunneleita.
  • killalltuns — Tappaa kaikki SSH-tunnelin prosesseja.
  • kuori — Tämä tulee suorittaa tietyn shell-komento ja lähettää vastaus aktiivinen C&C-palvelimelle.
  • ladata — Tämä komento lataa ja suorita suoritettavan tietyn URl. Tuotos raportoidaan hacker-ohjattu server.
  • sukat — Tämä luo käänteinen SSH-tunneli, joka on ajaa välillä C&C-palvelimen ja muut asiakkaat.
  • selfkill — Tämä poistaa aktiivisia haittaohjelmia tartunnan koneita.
  • loaddll — Tämä on hyvin samanlainen ”ladata” mutta DLL tiedostoja.
  • bk — Tämä asettaa käänteinen SSH tunnel käyttää C&C määritelty remote host sijaan kovakoodattu server.
  • kaapata — Tämä komento kaapata tietyn käyttäjän tilin tunnettu henkilö. Tämä on tehty luomalla esiasetuksen erän tiedosto, joka on vuorovaikutuksessa Windows Rekisterin ja Ajoitetut tehtävät-palvelu.
  • forcekill — Tämä tappaa kaikki prosessit käyttäen Windows ”taskkill” – komento.
  • sethijack — Tämä on valvonta sisäinen ”hälytys” mekanismi. Tämä tehdään erillinen ohjelma, joka seuraa käyttäjän kirjautuminen tapahtumia. Kun laillinen käyttäjä kirjautuu sisäänrakennettu käyttäytymismalli alkaa automaattisesti: ”chrome” ja ”fox” – komennot tulee ajaa, profiilit kopioidaan ”supportaccount” käyttäjä ja varoittaa hacker-ohjaimet.
  • chromeport — Tämä toteuttaa samat toiminnot kuin ”chrome”. Tämä johtaa myös ”FlawedGrace” malware toimitus.

Useimmat ServHelper Trojan tavoitteena on antaa FlawedGrace ROTTA. Se on hyötykuorma, joka on toimitettu kautta Troijan hevonen, joka toimii tiputin. Heti, kun se on käynnistetty sisäänrakennettu käyttäytymismalli on alkanut. Se tulee luoda, salata ja tallentaa konfigurointi-tiedosto, joka sisältää tietoja hakkeri-ohjattu server. Se FlawedGrace ROTTA käyttää erillistä binary protocol viestinnän ja sitä voi käyttää eri-portti tiedonsiirtoon, joka on määritelty sen ohjaimia. Oletuksena yksi on 443.

Listan komentoja, jotka on tunnistettu verkko analyysi on seuraava:

Se, että ServHelper Trojan ja siihen liittyvät FlawedGrace ROTTA on niputettu yhteen useimmissa hyökkäys kampanjat osoittaa, että uhka näyttelijä takana on kokenut. Kaikki toimitus-kampanjat toistaiseksi tavoite yritysten ja yksittäisten käyttäjien. Odotamme, että tulevat versiot on kehitetty, joilla on vielä vaarallisempaa arsenaali ilkivaltaa.

Jos tietokoneesi on saanut tartunnan kanssa ServHelper Trojan, sinun pitäisi olla vähän kokemusta haittaohjelmien poistaminen. Sinun pitäisi päästä eroon tästä Virus niin pian kuin mahdollista, ennen kuin se on mahdollisuus levitä ja tartuttaa muita tietokoneita. Sinun pitäisi poistaa Trojan ja noudata askel-askeleelta ohjeita opas alla.

Varoitus, useita anti-virus skannereita on havaittu mahdollinen haittaohjelma ServHelper Trojan.

Anti-virus ohjelmistoVersioHavaitseminen
Malwarebytesv2013.10.29.10PUP.Optional.MalSign.Generic
VIPRE Antivirus22224MalSign.Generic
K7 AntiVirus9.179.12403Unwanted-Program ( 00454f261 )
Malwarebytes1.75.0.1PUP.Optional.Wajam.A
ESET-NOD328894Win32/Wajam.A
McAfee-GW-Edition2013Win32.Application.OptimizerPro.E
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.bpjlwd
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh
Dr.WebAdware.Searcher.2467
VIPRE Antivirus22702Wajam (fs)
McAfee5.600.0.1067Win32.Application.OptimizerPro.E

ServHelper Trojan käyttäytymistä

  • Yhteinen ServHelper Trojan käyttäytymistä ja muita tekstin emplaining som info liittyvät käyttäytymistä
  • Muuttaa työpöydän ja selaimen asetukset.
  • Jakaa kautta maksu asentaa tai kolmannen osapuolen ohjelmiston mukana.
  • Selaimen ohjaaminen tartunnan sivujen.
  • Integroi selaimen kautta ServHelper Trojan selainlaajennus
  • Näyttää Fake turvahälytyksistä, ponnahdusikkunoita ja mainoksia.
  • Muuttaa käyttäjän kotisivulla
  • ServHelper Trojan poistaa asettaa arvopaperi pehmo.
Imuroi poistotyökalupoistaa ServHelper Trojan

ServHelper Trojan suorittaa Windows OS-versiolla

  • Windows 1030% 
  • Windows 836% 
  • Windows 725% 
  • Windows Vista6% 
  • Windows XP3% 

ServHelper Trojan maantiede

Poistaa ServHelper Trojan Windows

Poista ServHelper Trojan Windows XP:

  1. Klikkaa Käynnistä -valikkoon.
  2. Valitse Ohjauspaneeli ja valitsemalla Lisää tai poista sovellus.win-xp-control-panel ServHelper Trojan
  3. Valita ja poistaa ohjelman.

Poista ServHelper Trojan sinun Windows 7 ja Vista:

  1. Avaa Käynnistä -valikko ja valitse Ohjauspaneeli.win7-control-panel ServHelper Trojan
  2. Siirry Poista ohjelman asennus
  3. Napsauta hiiren kakkospainikkeella ei-toivottuja app ja valita Poista.

Poista ServHelper Trojan Windows 8 ja 8.1:

  1. Napsauta vasemmassa alakulmassa ja valitse Ohjauspaneeli.win8-control-panel-search ServHelper Trojan
  2. Valitse Poista ohjelman asennus ja Napsauta ei-toivottuja app.
  3. Valitse Poista .

Poista ServHelper Trojan Your selaimilta

ServHelper Trojan Varastosta Internet Explorer

  • Napsauta rataskuvaketta ja valitse Internet-asetukset.
  • Mene Lisäasetukset -välilehti ja valitse Palauta.reset-ie ServHelper Trojan
  • Tarkista, Poista henkilökohtaiset asetukset ja valitse Palauta uudelleen.
  • Valitse Sulje ja valitse OK.
  • Mene takaisin rataskuvaketta, valitse Lisäosien hallintaTyökalurivit ja laajennuksetja poista tarpeettomat laajennuksia.ie-addons ServHelper Trojan
  • Siirry Hakupalvelut ja valitse uusi oletuksena hakukone

Poistaa ServHelper Trojan Mozilla Firefox

  • Kirjoita URL-osoite -kenttään "about:addons".firefox-extensions ServHelper Trojan
  • Siirry laajennukset ja Poista Epäilyttävät selainlaajennukset
  • Valitse valikosta kysymysmerkki ja avaa Firefox ohje. Klikkaa Päivitä-Firefox painike ja valitse Päivitä Firefox vahvistamaan.firefox_reset ServHelper Trojan

Lopettaa ServHelper Trojan Chrome

  • Kirjoita "chrome://extensions" osoitekenttään ja paina Enter.extensions-chrome ServHelper Trojan
  • Lopettaa epäluotettavia selaimen laajennukset
  • Käynnistä Google Chrome.chrome-advanced ServHelper Trojan
  • Avaa Chrome-valikko, valitse asetukset → Näytä Lisäasetukset asetukset, valitse Palauta selaimen asetukset ja valitse Palauta (valinnainen).
Imuroi poistotyökalupoistaa ServHelper Trojan