ServHelper Trojan verwijderen

De ServHelper Trojan is een gevaarlijk wapen gebruikt tegen de computer gebruikers wereldwijd. Het infecteert voornamelijk via phishing e-mail berichten. Ons artikel geeft een overzicht van het gedrag volgens de verzamelde monsters en beschikbare rapporten, ook kan het nuttig zijn bij het proberen te verwijderen van het virus.

De ServHelper Trojan is een actieve backdoor malware die gebruik maakt van een zeer complexe infectie methode om te leveren een bedreiging genaamd “FlawedGrace”. De eerste exemplaren van de aanval campagne werden geïdentificeerd in November 2018, wanneer de tekenen van de monsters werden aangetroffen.

virus-16

De eerste infectie gebeurt via een kleine phishing e-mail campagne die is gericht op financiële instellingen. Ze poseerde als de interne communicatie, de service mededelingen of andere berichten die zijn zeer waarschijnlijk zal worden geopend door de ontvangers. Hun zal zijn bijgevoegde documenten van alle populaire formaten: rich text documenten, spreadsheets, databases en presentaties. Zodra ze worden geopend door de slachtoffers een aanwijzing verschijnt met de vraag deze om de ingebouwde scripts. Dit zal leiden tot de lading levering.

De volgende campagne gericht op de retail-industrie met een combinatie van verschillende bijlagen, te weten “.doc”, “.pub”, of “.wiz”.

December 2018 zag een andere versie van de ServHelper Trojan dit keer met behulp van een mix van verschillende technieken — niet alleen de phishing-documenten, maar ook PDF-berichten met links naar kwaadaardige sites omschreven als “Adobe PDF-plugins”. De inhoud van de e-mailberichten kunnen ook rechtstreekse links bevatten naar het virus bestanden. De PDF-bestanden die worden verspreid dwingen de gebruikers laten geloven dat ze nodig hebben om te downloaden van een nieuwe versie van de Adobe Reader-toepassing om goed te kunnen bekijken. Ze zijn weergegeven links van de gevaarlijke soorten.

Dit betekent dat het zeer wel mogelijk dat andere methoden worden gebruikt:

  • Bundel Installateurs — De criminelen die proberen om het maken van setup-bestanden van populaire software die het virus bevatten code. Dit wordt gedaan door het nemen van de legitieme bestanden van hun officiële bronnen en met de nodige instructies. Populaire keuzes zijn systeem utilities, creativiteit suites, de productiviteit en de office-apps, etc.
  • Malware Sites — De hackers kunnen maken van phishingsites, die het imiteren van bekende download portals, product landing pagina ‘ s, zoekmachines en anderen. Ze zijn gemaakt met behulp van gelijkaardige klinkende domeinnamen en beveiliging certificaten die kunnen worden ofwel self-signed zijn of gekocht van certificaat autoriteiten het gebruik van valse of gestolen referenties.
  • Browser Hijackers — Ze vertegenwoordigen kwaadaardige plugins die gemaakt zijn compatibel met de meest populaire webbrowsers. Deze gevallen kan meestal worden gevonden op de relevante archieven worden geplaatst met een nep-ervaringen en informatie voor ontwikkelaars. De gepubliceerde beschrijvingen beloven voorzien van aanvullingen en prestatie-optimalisaties. Op hetzelfde moment zo snel als ze zijn geïnstalleerd belangrijke wijzigingen kunnen optreden voor de browsers — de wijziging van instellingen, zoals de standaard-startpagina, zoekmachine en de nieuwe tabbladpagina. Dit is gedaan om voor het omleiden van de slachtoffers om een voorgedefinieerde hacker-gecontroleerde pagina.
  • File-Sharing Netwerken — De bestanden kunnen ook worden gedeeld op netwerken zoals BitTorrent waar Internet gebruikers actief na beide legitieme en illegale inhoud.

Als de campagnes verder verwachten we dat nieuwe phishing campagnes zal worden gelanceerd als de malware zelf is bijgewerkt.

Zodra de ServHelper Trojan is geïnfecteerd door de hosts zal het lanceren van een gedragspatroon op basis van de huidige configuratie. De belangrijkste motor zelf is geschreven in Delphi, wat betekent dat de broncode kan gemakkelijk worden gewijzigd tussen de iteraties.

Bijna alle van hen zal direct het opzetten van een lokale Trojan cliënt waardoor de aanvallers in om een veilige verbinding op hun eigen servers. De “tunnel” versie van de ServHelper Trojan zal het configureren van een reverse SSH tunnel. Dit betekent dat de criminelen in staat zal zijn om te gebruiken common Remote Desktop-software om toegang te krijgen tot de geïnfecteerde computers. Zodra dit gedaan is wordt de malware-engine zal het automatisch analyseren van het systeem en zoek alle gebruikersaccounts. Ze worden gekaapt alsmede alle opgeslagen web browser referenties. Dit betekent dat de ServHelper Trojan toegang tot alle belangrijke parameters van de meeste populaire web browsers:

  • Cookies
  • Instellingen
  • Bladwijzers
  • Geschiedenis
  • Opgeslagen Site Voorkeuren
  • Opgeslagen Referenties

Alle bekende varianten van de Trojan gebruik van poort 443 voor HTTPS-sessies en 80 die voor normale web pagina server levering. Vanaf een net werk beheerder van het perspectief van de besmette machines sturen legitiem verkeer als sommige extern bureaublad-toepassingen kan de route van het verkeer via deze poorten.

De meeste van de hacker-gecontroleerde servers bevinden zich op “.pw” top-level domeinen die kunnen een waarschuwing zijn voor de beheerders. Sommige van de latere versies hebben ook een aantal top-level domeinen van de “.beetje” die worden ook geassocieerd met de Namecoin cryptocurrency.

De informatie die is opgenomen in de command en control-servers zijn gevonden in het signaal is gecodeerd parameters: “de sleutel” , wat staat voor het ID van de dreiging die hardcoded in elke afzonderlijke virus versie. De “sysid” parameter toon de unieke ID die wordt gegenereerd voor iedere andere host. De genomen monsters gebruik van een algoritme dat gebruik maakt van de volgende gegevens als input waarden: campagne-ID, Windows versie, de architectuur, de gebruikersnaam en een willekeurig geheel getal. Een derde parameter met de naam “resp” bevat de reacties van de hacker controllers.

Een lijst van alle beschikbare commando ‘ s die zijn gemaakt van het live netwerk analyse blijkt het volgende arsenaal:

  • nop — Dit maakt het een keep-alive functionaliteit die voortdurend zal de sonde de verbinding met het netwerk in orde te houden.
  • tun — Dit zal een tunnel verbinding van de geïnfecteerde hosts die afkomstig zijn van de RDP-poort (3389). Een aantal van de genomen monsters zijn gevonden voor het uitvoeren van een uitgebreid scala van opdrachten. Ze zullen uitpakken en neerzetten en OpenSSH binaire, het configureren van de lokale RDP Warapper Library Software en het maken van een bijbehorende gebruikersnaam genaamd “supportaccount” met een vooraf ingesteld wachtwoord van “Ghar4f5″. Deze gebruiker zal worden toegevoegd aan de “Remote Desktop Gebruikers” en “Beheerders” groepen. Latere versies zal de plaats van deze derde-partij-app met de ingebouwde Windows remote desktop-app.
  • slp — Dit zal een hacker gedefinieerde slaap-out.
  • fox — Dit zal instrueren van de lokale instantie voor het kopiëren van de Mozilla Firefox gebruiker profiel.
  • chrome — Dit zal hetzelfde doen voor de Google Chrome.
  • killtun — Dit zal de dood van een actieve SSH tunnel proces.
  • tunlist — Dit commando geeft een lijst van alle actieve SSH tunnels.
  • killalltuns — Doodt alle SSH tunnel processen.
  • shell — Dit zal het uitvoeren van een bepaalde shell-commando en stuurt het antwoord naar de actieve C&C-server.
  • laden — Dit commando zal het downloaden en uitvoeren van een uitvoerbaar bestand van een specifieke URl. De output zal worden gerapporteerd aan de hacker-gestuurde server.
  • sokken — Dit zal leiden tot een reverse SSH tunnel die worden uitgevoerd tussen de C&C-server en andere klanten.
  • selfkill — Dit verwijdert de actieve malware van besmette machines.
  • loaddll — Dit is zeer vergelijkbaar met de “load” maar voor DLL-bestanden.
  • bk — Dit zal de reverse SSH tunnel gebruik maken van een C&C opgegeven host op afstand in plaats van de vaste server.
  • kapen — Deze opdracht zal kapen van een bepaalde gebruiker account met een bekend persoon. Dit wordt gedaan door het creëren van een vooraf ingestelde batch-bestand dat samen met de Windows Register en Geplande taken service.
  • forcekill — Dit zal doden alle processen met behulp van de Windows “taskkill” commando.
  • sethijack — Dit zal de controle van een ingebouwde “alert” – mechanisme. Dit wordt gedaan door een apart programma, dat waakt over de aanmelding van de gebruiker evenementen. Als een legitieme gebruiker zich aanmeldt met een ingebouwde gedrag patroon zal automatisch beginnen: de “chrome” en “vos” – commando ‘ s worden uitgevoerd, worden de profielen worden gekopieerd naar de “supportaccount” de gebruiker en het alarmeren van de hacker controllers.
  • chromeport — Dit implementeert dezelfde functionaliteit als “chrome”. Dit zal ook leiden tot de “FlawedGrace” malware levering.

De meeste van de ServHelper Trojan ernaar streven om de FlawedGrace RAT. Het is een lading die wordt geleverd door middel van de Trojan, die fungeert als een druppelaar. Zodra deze is gestart met een ingebouwde gedrag patroon zal worden gestart. Het zal maken, coderen en opslaan van een configuratie bestand dat informatie bevat over de hacker-gestuurde server. De FlawedGrace RAT maakt gebruik van een aparte binaire protocol voor communicatie en het gebruik kunnen maken van een andere poort voor communicatie zoals gedefinieerd door de controllers. De standaardwaarde is 443.

Een lijst van de commando ‘ s die zijn geïdentificeerd in een netwerk analyse is de volgende:

Het feit dat de ServHelper Trojan en de bijbehorende FlawedGrace RAT zijn gebundeld in de meeste van de aanval campagnes toont aan dat de dreiging acteur achter wordt ervaren. Alle levering campagnes zo ver doel bedrijven en in niet tot individuele gebruikers. We verwachten dat toekomstige versies zal worden ontwikkeld met een nog gevaarlijker arsenaal van kwaadaardige acties.

Als uw computer werd geïnfecteerd met het ServHelper Trojan, je moet een beetje ervaring in het verwijderen van malware. U moet zich te ontdoen van deze Trojan zo snel mogelijk, voordat deze de kans om verder verspreid en infecteren van andere computers. U moet verwijderen van de Trojan en volg de stap-voor-stap instructies gids hieronder.

Waarschuwing, Veelvoudig Anti-virus scanner mogelijk malware in ServHelper Trojan gedetecteerd.

Anti-Virus SoftwareVersieDetectie
ESET-NOD328894Win32/Wajam.A
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.825
McAfee-GW-Edition2013Win32.Application.OptimizerPro.E
K7 AntiVirus9.179.12403Unwanted-Program ( 00454f261 )
Malwarebytes1.75.0.1PUP.Optional.Wajam.A
Malwarebytesv2013.10.29.10PUP.Optional.MalSign.Generic
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh
VIPRE Antivirus22224MalSign.Generic
McAfee5.600.0.1067Win32.Application.OptimizerPro.E
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo
Dr.WebAdware.Searcher.2467
VIPRE Antivirus22702Wajam (fs)
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.bpjlwd

ServHelper Trojan gedrag

  • Integreert in de webbrowser via de ServHelper Trojan Grazen verlenging
  • Toont vals veiligheidsalarm, Pop-ups en advertenties.
  • ServHelper Trojan shows commerciële advertenties
  • Zichzelf installeert zonder machtigingen
  • Vertraagt internet-verbinding
  • Verspreidt zich via pay-per-install of is gebundeld met terts-verschijnende partij software.
  • Uw browser omleiden naar geïnfecteerde pagina's.
  • Steelt of gebruikt uw vertrouwelijke gegevens
  • ServHelper Trojan deactiveert geïnstalleerde beveiligingssoftware.
  • Gemeenschappelijke ServHelper Trojan gedrag en sommige andere tekst emplaining som info in verband met gedrag
  • Wijzigingen van gebruiker homepage
  • ServHelper Trojan verbindt met het internet zonder uw toestemming
Removal Tool downloadenom te verwijderen ServHelper Trojan

ServHelper Trojan verricht Windows OS versies

  • Windows 1027% 
  • Windows 840% 
  • Windows 728% 
  • Windows Vista5% 
  • Windows XP0% 

ServHelper Trojan Geografie

ServHelper Trojan elimineren van Windows

ServHelper Trojan uit Windows XP verwijderen:

  1. Klik op Start om het menu te openen.
  2. Selecteer Het Configuratiescherm en ga naar toevoegen of verwijderen van programma's.win-xp-control-panel ServHelper Trojan
  3. Kies en Verwijder de ongewenste programma.

Verwijderen ServHelper Trojan uit uw Windows 7 en Vista:

  1. Open menu Start en selecteer Configuratiescherm.win7-control-panel ServHelper Trojan
  2. Verplaatsen naar een programma verwijderen
  3. Klik met de rechtermuisknop op het ongewenste app en pick verwijderen.

Wissen ServHelper Trojan van Windows 8 en 8.1:

  1. Klik met de rechtermuisknop op de linkerbenedenhoek en selecteer Configuratiescherm.win8-control-panel-search ServHelper Trojan
  2. Kies een programma verwijderen en Klik met de rechtermuisknop op het ongewenste app.
  3. Klik op verwijderen .

ServHelper Trojan verwijderen uit uw Browsers

ServHelper Trojan Verwijdering van Internet Explorer

  • Klik op het pictogram van het vistuig en selecteer Internet-opties.
  • Ga naar het tabblad Geavanceerd en klikt u op Beginwaarden.reset-ie ServHelper Trojan
  • Controleer verwijderen persoonlijke instellingen en klik op Beginwaarden opnieuw.
  • Klik op sluiten en selecteer OK.
  • Ga terug naar het pictogram van de versnelling, Invoegtoepassingen beheren → Kies werkbalken en uitbreidingen, en verwijderen ongewenste extensies.ie-addons ServHelper Trojan
  • Ga naar Search Providers en kies een nieuwe standaard zoekmachine

Wissen ServHelper Trojan van Mozilla Firefox

  • Voer "about:addons" in het URL -veld.firefox-extensions ServHelper Trojan
  • Ga naar Extensions en verwijderen verdachte browser-extensies
  • Klik op het menu, klikt u op het vraagteken en Firefox Helpopenen. Klik op de Firefox knop Vernieuwen en selecteer vernieuwen Firefox om te bevestigen.firefox_reset ServHelper Trojan

Beëindigen ServHelper Trojan van Chrome

  • Typ in "chrome://extensions" in het veld URL en tik op Enter.extensions-chrome ServHelper Trojan
  • Beëindigen van onbetrouwbare browser- extensies
  • Opnieuw Google Chrome.chrome-advanced ServHelper Trojan
  • Chrome menu openen, klik op instellingen → Toon geavanceerde instellingen, selecteer Reset browserinstellingen en klikt u op Beginwaarden (optioneel).
Removal Tool downloadenom te verwijderen ServHelper Trojan