Come eliminare ServHelper Trojan

Il ServHelper Trojan è una pericolosa arma usata contro gli utenti di computer in tutto il mondo. Infetta principalmente tramite messaggi di phishing. Il nostro articolo fornisce una panoramica del suo comportamento secondo i campioni raccolti e rapporti disponibili, inoltre può essere utile nel tentativo di rimuovere il virus.

Il ServHelper Trojan è attivo un malware backdoor, che utilizza un complesso metodo di infezione per consegnare un’altra minaccia chiamato “FlawedGrace”. I primi casi di attacco di campagna, sono stati individuati, nel novembre del 2018, quando i segni dei suoi campioni sono stati rilevati.

virus-16

L’infezione iniziale è stato fatto tramite un piccolo e-mail campagna di phishing mirati istituzioni finanziarie. Ci si è posti come la comunicazione interna, servizio di notifiche o altri messaggi che sono stati molto probabilmente sarà aperto dai destinatari. Loro comprendono documenti allegati di tutti i più popolari formati: ricco di documenti di testo, fogli di calcolo, database e presentazioni. Non appena si sono aperte le vittime verrà visualizzato un prompt che chiede di attivare il built-in e script. Questo porterà payload di consegna.

La prossima campagna mirata per il settore retail con una combinazione di diversi allegati, e in particolare “.doc”, “.pub”, o “.wiz”.

Dicembre 2018 visto un’altra versione del ServHelper Trojan questa volta utilizzando un mix di varie tecniche — non solo il phishing documenti, ma anche PDF messaggi contenenti link a siti dannosi descritto come “Adobe PDF ” plugins”. Il contenuto del corpo dei messaggi di posta elettronica possono contenere anche link diretti ai file di virus. I file PDF che sono stati distribuiti costringere gli utenti a credere che hanno bisogno di scaricare una nuova versione dell’applicazione Adobe Reader per visualizzare correttamente. Sono mostrati i link per il pericoloso ceppi.

Questo significa che è molto possibile per altri metodi di consegna per essere utilizzati anche come:

  • Bundle Installatori — I criminali possono tentare di creare file di installazione del popolare software che contiene il codice del virus. Questo viene fatto prendendo i file legittimi dalle loro fonti ufficiali e compreso le istruzioni necessarie. Scelte popolari includono utilità di sistema, creatività suite di produttività e applicazioni da ufficio, etc.
  • Siti di Malware — gli hacker sono in grado di creare siti di phishing che imitare noti portali di download, landing page, motori di ricerca e altri. Essi sono realizzati utilizzando qualcosa di simile suono nomi di dominio e i certificati di sicurezza che può essere auto-firmato o comprato da autorità di certificazione utilizzando falsi o furto di credenziali.
  • Hijacker del Browser — rappresentano plugin dannosi che vengono resi compatibili con i browser web più popolari. Questi casi possono generalmente essere trovati sul relativo repository essere inviato con falsi recensioni degli utenti e di informazioni per gli sviluppatori. L’inviato descrizioni promessa di nuove funzionalità e ottimizzazioni delle prestazioni. Allo stesso tempo, non appena vengono installati importanti cambiamenti che possono verificarsi per il browser — la modifica delle impostazioni, ad esempio la home page predefinita, motore di ricerca, la pagina “nuova scheda”. Questo viene fatto al fine di reindirizzare le vittime di un predefiniti hacker controllato pagina.
  • Reti di Condivisione File — I file possono anche essere condivisi su social network come BitTorrent, dove gli utenti di Internet attivamente post sia legittimo e il pirata di contenuti.

Come le campagne in corso prevediamo che le nuove phishing saranno avviate campagne di come il malware viene aggiornato.

Non appena il ServHelper Trojan ha infettato i padroni di casa, è il lancio di un modello di comportamento in base alla configurazione corrente. Il principale motore stesso è scritto in Delphi, il che significa che il codice sorgente può essere modificato facilmente tra le iterazioni.

Quasi tutti di loro immediatamente impostare un locale Trojan client permettendo agli hacker di impostare una connessione sicura dei propri server. Il “tunnel” versione del ServHelper Trojan configurare un reverse tunnel SSH. Questo significa che i criminali saranno in grado di utilizzare comuni software di Desktop Remoto per accedere al computer infetti. Non appena questo viene fatto il malware motore di analizzare automaticamente il sistema e individuare tutti gli account utente. Saranno dirottati così come qualsiasi memorizzati browser web credenziali. Questo significa che il ServHelper Trojan possibile accedere a tutti i parametri importanti del browser web più diffusi:

  • I cookie
  • Impostazioni
  • Segnalibri
  • Storia
  • Memorizzate Le Preferenze Per Questo Sito
  • Memorizzate Le Credenziali Dell’Account

Tutte le varianti conosciute del Trojan utilizza la porta 443 che sono utilizzati per le sessioni HTTPS e 80, che è normale server web di consegna. Da un amministratore di rete prospettiva le macchine compromesse invia il traffico legittimo come alcuni di desktop remoto di applicazioni in grado di instradare il traffico attraverso queste porte.

La maggior parte di hacker controllato i server si trovano in “.pw” domini di primo livello che può essere un segnale di avvertimento per gli amministratori. Alcune delle ultime versioni dispongono anche di alcuni domini di primo livello “.bit” che sono anche associati con la Namecoin cryptocurrency.

Il POST informazioni contenute nel server di comando e controllo sono stati trovati segnale codificato parametri: la “chiave” che rappresenta l’ID della minaccia che è codificato in ogni virus versione. Il “sysid” parametro mostrerà l’ID univoco che viene generato per ogni host diverso. Catturato esempi di utilizzare un algoritmo che utilizza i seguenti dati come valori di input: ID campagna, Windows versione, l’architettura del Sistema, il nome utente e un numero intero casuale. Un terzo parametro chiamato “risp” contiene le risposte fornite dagli hacker controller.

Un elenco di tutti i comandi disponibili che sono stati catturati dalla rete live, emerge il seguente arsenal:

  • nop — Questo consentirà una funzionalità keep-alive che costantemente si sonda la connessione di rete al fine di mantenere in esecuzione.
  • tun — Questo creerà un tunnel di collegamento dall’host compromessi proveniente dalla porta RDP (3389). Alcuni dei catturato campioni sono stati trovati per eseguire una vasta gamma di comandi. Essi estraggono e drop e OpenSSH binario, configurare il locale RDP Warapper Libreria di Software e creare un nome utente associato denominato “supportaccount” con una password preimpostata di “Ghar4f5”. L’utente sarà aggiunto al “Utenti Desktop Remoto” e “Amministratori” dei gruppi. Le versioni successive andrà a sostituire questa app di terze parti con il built-in Windows applicazione di desktop remoto.
  • slp — Questo sarà un hacker-definito di timeout.
  • fox — Questo istruire l’istanza locale di copia Mozilla Firefox profilo utente.
  • chrome — Questo farà la stessa per Google Chrome.
  • killtun — Questo ucciderà attivo un tunnel SSH processo.
  • tunlist — Questo comando aprirà un elenco di tutti attivi tunnel SSH.
  • killalltuns — Uccide tutti i tunnel SSH processi.
  • shell — Questo permetterà di eseguire un determinato comando di shell e invia la risposta all’attivo C&C server.
  • carico — Questo comando scaricare ed eseguire un file eseguibile da un URl specifico. L’uscita sarà segnalato all’hacker controllato server.
  • calze — Questo creerà un reverse tunnel SSH che sta per essere eseguito tra il server C&C e di altri clienti.
  • selfkill — Questo sarà rimuovere il malware attivo dalle macchine infette.
  • loaddll — Questo è molto simile al “carico”, ma per i file DLL.
  • bk — Questo sarà impostare il reverse tunnel SSH per l’utilizzo di un C&C host remoto specificato invece che il hardcoded server.
  • dirottare — Questo comando dirottare un determinato account utente con una persona conosciuta. Questo viene fatto attraverso la creazione di un preset file batch per interagire con il Windows del Registro di sistema e Programmata attività di servizio.
  • forcekill — Questo ucciderà tutti i processi che utilizzano il Windows “taskkill” di comando.
  • sethijack — Questo il controllo di un built-in “allerta” il meccanismo. Questo è fatto da un programma separato che monitora l’utente di login di eventi. Quando un utente legittimo registra un built-in modello di comportamento si avvia automaticamente: “chrome” e “fox” comandi saranno eseguiti, i profili saranno copiati “supportaccount” utente e avvisi di hacker controller.
  • chromeport — Questo implementa le stesse funzionalità “chrome”. Questo porterà anche alla “FlawedGrace” di distribuzione di malware.

La maggior parte delle ServHelper Trojan obiettivo di consegnare il FlawedGrace RATTO. Si tratta di un payload che è fornito attraverso il Trojan, che agisce come un contagocce. Non appena viene lanciato un built-in e modello di comportamento. Si creerà, crittografare e memorizzare un file di configurazione che contiene le informazioni circa l’hacker controllato server. Il FlawedGrace RATTO utilizza un protocollo binario per le comunicazioni e la possibilità di utilizzare una porta diversa comunicazione, come definito dal suo controller. Quella predefinita è la 443.

Un elenco di comandi che sono stati identificati da una analisi di rete è la seguente:

Il fatto che il ServHelper Trojan e associati FlawedGrace RATTO sono in bundle insieme in più dell’attacco campagne dimostra che la minaccia attore dietro di esso è vissuto. Non tutte le campagne finora società target e non i singoli utenti. Possiamo anticipare che le future versioni saranno sviluppati avere una ancora più pericoloso arsenale di azioni pericolose.

Se il vostro sistema di computer è stato infettato con il ServHelper Trojan, si dovrebbe avere un po ‘ di esperienza nella rimozione di malware. Si dovrebbe sbarazzarsi di questo Trojan il più rapidamente possibile, prima di poter avere la possibilità di diffondersi e infettare altri computer. È necessario rimuovere il cavallo di Troia e di seguire passo-passo le istruzioni di guida fornita di seguito.

Attenzione, più anti-virus scanner hanno rilevato malware possibili in ServHelper Trojan.

Software Anti-VirusVersioneRilevazione
McAfee-GW-Edition2013Win32.Application.OptimizerPro.E
K7 AntiVirus9.179.12403Unwanted-Program ( 00454f261 )
Malwarebytes1.75.0.1PUP.Optional.Wajam.A
VIPRE Antivirus22224MalSign.Generic
Dr.WebAdware.Searcher.2467
ESET-NOD328894Win32/Wajam.A
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.825
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh
VIPRE Antivirus22702Wajam (fs)
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo
McAfee5.600.0.1067Win32.Application.OptimizerPro.E

Comportamento di ServHelper Trojan

  • Modifica le impostazioni Browser e Desktop.
  • Rallenta la connessione a internet
  • Si distribuisce attraverso pay-per-installare o è in bundle con software di terze parti.
  • Spettacoli falsi avvisi di sicurezza, popup e annunci.
  • Cambia la pagina iniziale dell'utente
  • Ruba o utilizza i vostri dati confidenziali
Scarica lo strumento di rimozionerimuovere ServHelper Trojan

ServHelper Trojan effettuate versioni del sistema operativo Windows

  • Windows 1032% 
  • Windows 836% 
  • Windows 724% 
  • Windows Vista5% 
  • Windows XP3% 

Geografia di ServHelper Trojan

Eliminare ServHelper Trojan da Windows

Elimina ServHelper Trojan da Windows XP:

  1. Fare clic su Start per aprire il menu.
  2. Selezionare Pannello di controllo e vai a Aggiungi o Rimuovi programmi.win-xp-control-panel ServHelper Trojan
  3. Scegliere e rimuovere il programma indesiderato.

Rimuovi ServHelper Trojan dal tuo Windows 7 e Vista:

  1. Aprire il menu Start e selezionare Pannello di controllo.win7-control-panel ServHelper Trojan
  2. Spostare Disinstalla un programma
  3. Pulsante destro del mouse sull'app indesiderato e scegliere Disinstalla.

Cancella ServHelper Trojan da Windows 8 e 8.1:

  1. Pulsante destro del mouse sull'angolo inferiore sinistro e selezionare Pannello di controllo.win8-control-panel-search ServHelper Trojan
  2. Scegliere Disinstalla un programma e fare clic destro sull'applicazione indesiderata.
  3. Fare clic su disinstallare .

Eliminare ServHelper Trojan dal tuo browser

ServHelper Trojan Rimozione da Internet Explorer

  • Fare clic sull' icona dell'ingranaggio e seleziona Opzioni Internet.
  • Vai alla scheda Avanzate e fare clic su Reimposta.reset-ie ServHelper Trojan
  • Verifica Elimina impostazioni personali e clicca Reset nuovamente.
  • Fare clic su Chiudi e scegliere OK.
  • Tornare indietro per l' icona dell'ingranaggio, scegliere Gestione componenti aggiuntiviestensioni e barre degli strumentie delete indesiderati estensioni.ie-addons ServHelper Trojan
  • Vai al Provider di ricerca e scegliere un nuovo motore di ricerca di predefinito

Cancellare ServHelper Trojan da Mozilla Firefox

  • Inserire "about:addons" nel campo URL .firefox-extensions ServHelper Trojan
  • Vai a estensioni ed eliminare le estensioni browser sospette
  • Scegliere dal menu, fare clic sul punto interrogativo e aprire la Guida di Firefox. Fare clic sul pulsante Firefox Aggiorna e selezionare Aggiorna Firefox per confermare.firefox_reset ServHelper Trojan

Terminare ServHelper Trojan da Chrome

  • Digitare "chrome://extensions" nel campo URL e premere invio.extensions-chrome ServHelper Trojan
  • Terminare le estensioni del browser inaffidabile
  • Riavviare Google Chrome.chrome-advanced ServHelper Trojan
  • Aprire Chrome menu, fare clic su impostazioni → impostazioni di Show advanced, selezionare Reimposta le impostazioni del browser e fare clic su Reimposta (opzionale).
Scarica lo strumento di rimozionerimuovere ServHelper Trojan