Comment supprimer ServHelper Trojan

Le ServHelper Trojan est une dangereuse arme utilisée contre les utilisateurs d’ordinateurs à travers le monde. Il infecte principalement par le biais de messages électroniques d’hameçonnage. Notre article donne un aperçu de son comportement en fonction de la collecte d’échantillons et les rapports disponibles, il peut également être utile pour tenter de supprimer le virus.

Le ServHelper Trojan est un actif de porte dérobée, les logiciels malveillants qui utilise très complexe de la méthode d’infection à livrer une autre menace appelée “FlawedGrace”. Le premier cas de la campagne d’attaque ont été identifiés en novembre 2018 lorsque les signes de ses échantillons ont été détectés.

virus-16

L’infection initiale a été fait par une petite taille d’e-mail de phishing campagne qui cible les institutions financières. Ils ont posé comme la communication interne, le service de notifications ou d’autres messages qui étaient très susceptibles d’être ouverts par les destinataires. Leur comprendra les documents joints de tous les formats populaires: riche en documents texte, feuilles de calcul, bases de données et des présentations. Dès qu’ils sont ouverts par les victimes, une invite s’affiche pour vous demander pour activer les scripts intégrés. Cela conduira à la charge de la livraison.

La prochaine campagne ciblée de l’industrie du commerce de détail avec une combinaison de différents accessoires, à savoir « .doc », « .pub », ou « .wiz ».

Décembre 2018 vu une autre version de la ServHelper Trojan cette fois en utilisant une combinaison de différentes techniques — non seulement le phishing documents, mais aussi PDF des messages contenant des liens vers des sites malveillants, décrit comme “Adobe PDF plugins”. Le contenu du corps de l’e-mail les messages peuvent également contenir des liens directs vers les fichiers de virus. Les fichiers PDF qui sont en cours de distribution de contraindre les utilisateurs en leur faisant croire qu’ils ont besoin de télécharger une nouvelle version de l’application Adobe Reader pour afficher correctement. Ils sont indiqués les liens vers les souches dangereuses.

Cela signifie qu’il est très possible que d’autres méthodes de livraison pour être utilisé ainsi:

  • Bundle Installateurs — Les criminels peuvent tenter de créer des fichiers d’installation de logiciel populaire qui contient le code du virus. Ceci est fait en prenant les fichiers légitimes de leurs sources officielles et y compris les instructions nécessaires. Les choix populaires incluent des utilitaires système, de créativité, de suites, de la productivité et des applications office et etc.
  • Sites malveillants — Les pirates peuvent créer des sites de phishing qui imite bien connu portails de téléchargement, produit des pages d’atterrissage, les moteurs de recherche et autres. Ils sont fabriqués en utilisant la ressemblance entre les noms de domaine et certificats de sécurité qui peut être soit de l’auto-signé ou acheté par des autorités de certification à l’aide de faux ou de vol d’informations d’identification.
  • Les Pirates de navigateur — Ils représentent plugins malveillants qui sont compatibles avec la plupart des navigateurs web populaires. Ces instances peuvent généralement être trouvés sur les référentiels affiché avec de faux commentaires des utilisateurs et des développeurs. La publication des descriptions et promettent des ajouts de fonctionnalités et optimisations des performances. Dans le même temps, dès qu’ils sont installés des changements importants peuvent se produire sur les navigateurs — la modification de paramètres tels que la page d’accueil par défaut, moteur de recherche et page de nouvel onglet. Ceci est fait dans le but de rediriger les victimes vers un prédéfini hacker contrôlé par page.
  • Réseaux de Partage de fichiers — Les fichiers peuvent également être partagées sur les réseaux BitTorrent où les internautes activement l’afficher à la fois légitime et contenu pirate.

Comme les campagnes de progrès en outre, nous prévoyons que la nouvelle les campagnes seront lancées dès le malware lui-même est mis à jour.

Dès que le ServHelper Trojan a infecté les hôtes, il va lancer un modèle de comportement basé sur la configuration actuelle. Le principal moteur lui-même est écrit en Delphi qui signifie que le code source peut être modifiée facilement entre les itérations.

Presque tous d’entre eux seront instantanément locaux de Troie client permettant aux attaquants pour configurer une connexion sécurisée à leurs propres serveurs. Le “tunnel” de la version de la ServHelper Trojan permettra de configurer un tunnel SSH inverse. Cela signifie que les criminels seront en mesure d’utiliser le bon logiciel de Bureau à Distance pour accéder à l’ordinateur infecté. Dès que cela est fait, les logiciels malveillants moteur va automatiquement analyser le système et de localiser tous les comptes d’utilisateur. Ils seront détournés ainsi que toute stockées navigateur web des informations d’identification. Cela signifie que le ServHelper Trojan pouvez accéder à tous les paramètres importants de la plupart des navigateurs web les plus courants:

  • Les Cookies
  • Paramètres
  • Signets
  • L’histoire
  • Stockées Les Préférences De Site
  • Stockées Les Informations D’Identification De Compte

Toutes les variantes connues du cheval de Troie utiliser le port 443 qui sont utilisés pour les sessions HTTPS et 80, ce qui est normal de la page serveur web de livraison. À partir d’un administrateur de réseau du point de vue des machines compromises va envoyer le trafic légitime que certains de bureau à distance les applications peuvent acheminer le trafic via ces ports.

La plupart des pirates des serveurs contrôlés sont situés sur le “.pw” domaines de premier niveau qui peut être un signe d’avertissement pour les administrateurs. Certaines des dernières versions disposent également de quelques domaines de premier niveau de l’ “.peu de type” qui sont également associés avec le Namecoin cryptocurrency.

Le POST de l’information contenue dans le commandement et le contrôle des serveurs ont été trouvés pour signal codé paramètres: “la clé” qui correspond à l’ID de la menace qui est codé en dur dans chaque version virus. Le “sysid” paramètre affichera l’ID unique qui est généré pour chaque hôte. Les échantillons capturés utiliser un algorithme qui utilise les données suivantes comme valeurs d’entrée: IDENTIFIANT de campagne, Windows version, l’architecture du Système, le nom d’utilisateur et un entier aléatoire. Un troisième paramètre appelé “reee” contient les réponses du hacker contrôleurs.

Une liste de toutes les commandes qui ont été capturées à partir du réseau de production analyse révèle la suite de l’arsenal:

  • nop — Cela permettra une fonctionnalité keep-alive qui sera constamment de la sonde de la connexion réseau dans le but de le garder en cours d’exécution.
  • tun — Ce sera mis en place un tunnel de connexion du compromis hôtes en provenance du port RDP (3389). Certains des échantillons capturés ont été trouvés pour exécuter une vaste gamme de commandes. Ils vont extraire et de les déposer et OpenSSH binaire, configurer le local RDP Warapper Logiciel de Bibliothèque et de créer associé à un nom d’utilisateur appelé “supportaccount” avec une présélection de mot de passe de “Ghar4f5”. Cet utilisateur sera ajouté à la « Utilisateurs du Bureau à Distance » et « Administrateurs » des groupes. Plus tard, des versions de remplacer cette application tierce avec le haut-Windows l’application bureau à distance.
  • slp — Ceci permettra de définir un hacker défini sommeil délai d’attente.
  • fox — Ce doit demander à l’instance locale de copier le Mozilla Firefox profil de l’utilisateur.
  • chrome — Ce fera de même pour Google Chrome.
  • killtun — Cela permet de tuer un actif tunnel SSH processus.
  • tunlist — Cette commande liste tous les actifs tunnels SSH.
  • killalltuns — Tue tous le tunnel SSH processus.
  • shell — Cela permettra d’exécuter une commande shell et d’envoyer la réponse à l’actif de C&C serveur.
  • charge — Cette commande va télécharger et exécuter un fichier exécutable à partir d’une URl spécifique. La sortie sera signalé à la hacker contrôlé par le serveur.
  • chaussettes — Cela va créer un tunnel SSH inverse qui doit être exécutée entre le serveur C&C et d’autres clients.
  • selfkill — Cela permettra d’éliminer l’actif des programmes malveillants sur les machines infectées.
  • loaddll — Ce qui est très similaire à “charger” mais les fichiers DLL.
  • bk — Cela sera l’inverse tunnel SSH pour utiliser un C&C spécifié hôte distant au lieu de le codé en dur du serveur.
  • détourner — Cette commande va détourner un compte d’utilisateur donné avec une personne connue. Ceci est fait par la création d’un préréglage fichier batch qui va interagir avec le Windows de Registre et les tâches Planifiées de service.
  • forcekill — Ce sera de tuer tous les processus à l’aide de la Windows « taskkill » de commande.
  • sethijack — Cette volonté de contrôle intégré “alerte” mécanisme. Ceci est fait par un programme distinct qui surveille la connexion de l’utilisateur des événements. Lorsqu’un utilisateur légitime journaux intégré dans le modèle de comportement sera automatiquement commencer: le “chrome” et “fox” commandes sont à exécuter, les profils seront copiés dans le “supportaccount” de l’utilisateur et d’alerte hacker contrôleurs.
  • chromeport — Cela met en œuvre les mêmes fonctionnalités que “chrome”. Ce sera également conduire à l’ “FlawedGrace” les logiciels malveillants de livraison.

La plupart des ServHelper Trojan but de livrer le FlawedGrace RAT. C’est une charge qui est livré à travers le cheval de Troie qui agit comme un compte-gouttes. Dès qu’il est lancé, un comportement intégré modèle sera lancé. Il permettra de créer, de chiffrer et stocker un fichier de configuration qui contient des informations sur le pirate contrôlé par le serveur. Le FlawedGrace RAT utilise un autre protocole binaire pour les communications, et il peut utiliser un autre port pour la communication telle que définie par ses contrôleurs. La valeur par défaut est 443.

Une liste des commandes qui ont été identifiés à partir d’une analyse de réseau est la suivante:

Le fait que le ServHelper Trojan et les associés FlawedGrace RAT sont regroupés en plus de l’attaque des campagnes montre que la menace de l’acteur derrière, c’est connu. Tous livraison des campagnes de mesure cible les entreprises et non pas les utilisateurs individuels. Nous prévoyons que les futures versions seront développées en avoir un encore plus dangereux arsenal d’actions malveillantes.

Si votre ordinateur a été infecté par le ServHelper Trojan, vous devriez avoir un peu d’expérience dans la suppression des logiciels malveillants. Vous devriez vous débarrasser de ce cheval de Troie le plus rapidement possible avant qu’il puisse avoir la chance de se propager plus loin et infecter d’autres ordinateurs. Vous devez supprimer le cheval de Troie et suivez étape par étape les instructions dans le guide ci-dessous.

Attention, plusieurs analyseurs antivirus ont détecté malware possible dans ServHelper Trojan.

Un logiciel anti-virusVersionDétection
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)
ESET-NOD328894Win32/Wajam.A
Malwarebytesv2013.10.29.10PUP.Optional.MalSign.Generic
VIPRE Antivirus22702Wajam (fs)
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.bpjlwd
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.825
Malwarebytes1.75.0.1PUP.Optional.Wajam.A
McAfee-GW-Edition2013Win32.Application.OptimizerPro.E
VIPRE Antivirus22224MalSign.Generic
Dr.WebAdware.Searcher.2467
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo

Comportement de ServHelper Trojan

  • S'intègre dans le navigateur web par l'intermédiaire de l'extension de navigateur de ServHelper Trojan
  • Se distribue par le biais de pay-per-install ou est livré avec des logiciels tiers.
  • ServHelper Trojan se connecte à l'internet sans votre permission
  • Vole ou utilise vos données confidentielles
  • ServHelper Trojan montre des annonces commerciales
  • Comportement commun de ServHelper Trojan et quelques autre emplaining som info texte lié au comportement
Télécharger outil de suppressionpour supprimer ServHelper Trojan

ServHelper Trojan a effectué les versions de système d'exploitation Windows

  • Windows 1026% 
  • Windows 834% 
  • Windows 720% 
  • Windows Vista7% 
  • Windows XP13% 

Géographie de ServHelper Trojan

Éliminer ServHelper Trojan de Windows

Supprimer ServHelper Trojan de Windows XP :

  1. Cliquez sur Démarrer pour ouvrir le menu.
  2. Sélectionnez le Panneau de commande et accédez à Ajout / suppression de programmes.win-xp-control-panel ServHelper Trojan
  3. Sélectionnez et supprimez le programme indésirable.

Retirer ServHelper Trojan de votre Windows 7 et Vista :

  1. Ouvrez le menu Démarrer et sélectionnez Panneau de configuration.win7-control-panel ServHelper Trojan
  2. Se déplacer à désinstaller un programme
  3. Faites un clic droit sur l'app indésirable et choisissez désinstaller.

Effacer ServHelper Trojan de Windows 8 et 8.1 :

  1. Faites un clic droit sur le coin inférieur gauche et sélectionnez Panneau de configuration.win8-control-panel-search ServHelper Trojan
  2. Choisir de désinstaller un programme et faites un clic droit sur l'application non désirée.
  3. Cliquez sur désinstaller .

Delete ServHelper Trojan depuis votre navigateur

ServHelper Trojan Suppression de Internet Explorer

  • Cliquez sur l' icône d'engrenage et sélectionnez Options Internet.
  • Allez dans l'onglet avancé , puis cliquez sur Réinitialiser.reset-ie ServHelper Trojan
  • Vérifiez Supprimer les paramètres personnels et cliquez de nouveau sur Réinitialiser .
  • Cliquez sur Fermer et cliquez sur OK.
  • Revenir à l' icône d'engrenage, choisissez gérer Add-onsbarres d'outils et Extensionset supprimer les indésirables des extensions.ie-addons ServHelper Trojan
  • Allez dans Les moteurs de recherche et choisissez un nouveau moteur de recherche de défaut

Effacer ServHelper Trojan de Mozilla Firefox

  • Tapez "about:addons" dans le champ URL .firefox-extensions ServHelper Trojan
  • Allez aux Extensions et supprimer les extensions du navigateur suspectes
  • Cliquez sur le menu, cliquez sur point d'interrogation et ouvrez l'aide de Firefox. Cliquez sur rafraîchissement Firefox bouton et sélectionnez Actualiser Firefox pour confirmer.firefox_reset ServHelper Trojan

Terminez ServHelper Trojan de Chrome

  • Tapez "chrome://extensions" dans le champ URL et appuyez sur entrée.extensions-chrome ServHelper Trojan
  • Résilier les extensions du navigateur peu fiables
  • Redémarrez Google Chrome.chrome-advanced ServHelper Trojan
  • Ouvrez le menu Chrome, cliquez sur paramètres → paramètres de Show advanced, sélectionnez rétablir les paramètres de navigateur et cliquez sur Reset (en option).
Télécharger outil de suppressionpour supprimer ServHelper Trojan