ServHelper Trojan fjerning

Den ServHelper Trojan er et farlig våpen som brukes mot pc-brukere over hele verden. Det smitter hovedsakelig via phishing-e-postmeldinger. Artikkelen gir en oversikt over sin oppførsel i henhold til de innsamlede prøvene og tilgjengelige rapporter, også det kan være nyttig å forsøke å fjerne viruset.

Den ServHelper Trojan er en aktiv backdoor malware som bruker en svært kompleks infeksjon metode for å levere en annen trussel som kalles «FlawedGrace». De første tilfeller av angrep kampanjen ble identifisert tilbake i November 2018 når det tegn på sin prøvene ble oppdaget.

virus-16

Den første infeksjonen ble gjort via en liten størrelse for e-phishing-kampanje som er målrettet finansielle institusjoner. De poserte som intern kommunikasjon, service varsler eller andre meldinger som ble svært sannsynlig å bli åpnet av mottakere. Deres vil omfatte vedlagte dokumenter av alle populære formater: rik tekst-dokumenter, regneark, databaser og presentasjoner. Så snart de er åpnet av ofrene vises en melding som ber dem om å aktivere den innebygde skript. Dette vil føre til nyttelasten levering.

Neste kampanje som er målrettet detaljhandelen med en kombinasjon av ulike vedlegg, nemlig «.doc», «.pub», eller «.wiz».

Desember 2018 så en annen utgivelse av ServHelper Trojan denne gangen ved å bruke en blanding av ulike teknikker ※ ikke bare phishing-dokumenter, men også PDF-meldinger som inneholder lenker til ondsinnede nettsteder beskrevet som «Adobe PDF-plugins». Kroppen innholdet i e-postmeldinger kan også inneholde direkte koblinger til virus-filer. PDF-filer som blir distribuert tvinge brukere til å tro at de trenger å laste ned en ny versjon av Adobe Reader-programmet for riktig å vise det. De er vist koblinger til det farlige spenninger.

Dette betyr at det er meget mulig for andre leveringsmetoder som skal brukes samt:

  • Pakken Montører ※ De kriminelle kan forsøke å opprette installasjonsfiler for populær programvare som inneholder virus kode. Dette er gjort ved å ta den legitime filer fra sine offisielle kilder og inkluderer nødvendige instruksjoner. Populære valgene inkluderer system verktøy, kreativitet suites, produktivitet og office-programmer og etc.
  • Malware Nettsteder ※ hackere kan skape phishing-nettsteder som imitere kjente laste ned portaler, produkt sider, søkemotorer og andre. De er laget ved hjelp av lignende høres domenenavn og sikkerhet-sertifikater som kan være enten selv-signert eller har kjøpt fra sertifikat myndigheter ved hjelp av falske eller stjålne legitimasjon.
  • Nettleserkaprere ※ De representerer skadelig plugins som er gjort kompatibel med de mest populære nettleserne. Disse tilfellene kan det meste bli funnet på relevante kjeldene blir skrevet med falske omtaler og informasjon for utviklere. De lagt ut beskrivelser vil løfte funksjonen tillegg og ytelse optimaliseringer. På samme tid så snart de er installert viktige endringer kan skje nettlesere ※ endring av innstillinger som standard startside, søkemotor og nye faner side. Dette er gjort for å omdirigere ofre til en forhåndsutformet hacker-kontrollerte side.
  • Fil-Deling Nettverk ※ filene kan også deles på nettverk som BitTorrent der Internett-brukere aktivt post både legitime og pirat innhold.

Som kampanjer videre forventer vi at nye phishing-kampanjer vil bli lansert som malware selv er oppdatert.

Så snart ServHelper Trojan har infisert vert det vil lansere en atferd mønster basert på den gjeldende konfigurasjonen. Den viktigste motoren i seg selv er skrevet i Delphi, noe som betyr at kildekoden kan enkelt endres mellom iterasjoner.

Nesten alle av dem vil umiddelbart sette opp en lokal Trojan klienten slik at angriperne å sette opp en sikker forbindelse til sine egne servere. «Tunnel» versjon av ServHelper Trojan vil konfigurere en omvendt SSH-tunnel. Dette betyr at de kriminelle vil være i stand til å bruke felles Remote Desktop-programvare for å få tilgang til den infiserte datamaskiner. Så snart dette er gjort, malware-motoren vil automatisk analysere systemet og finne alle brukerkontoer. De vil bli kapret, samt noen som er lagret nettleser legitimasjon. Dette betyr at ServHelper Trojan kan få tilgang til alle viktige parametere i de mest populære nettleserne:

  • Cookies
  • Innstillinger
  • Bokmerker
  • Historie
  • Lagret Nettstedet Preferanser
  • Lagret Kontodetaljene

Alle kjente varianter av Trojan bruke port 443 som brukes for HTTPS-økter og 80 som er for vanlige web-server-siden levering. Fra en nettverk administrator perspektiv kompromitterte maskiner vil sende legitim trafikk som noen remote desktop programmer som kan rute trafikken via disse portene.

De fleste av hacker-kontrollerte servere er plassert på «.pw» top-level-domener som kan være et faresignal for administratorer. Noen av de nyere versjonene har også noen top-level-domener «.bit» type som også er forbundet med Namecoin cryptocurrency.

INNLEGGET informasjonen i kommando-og kontroll-servere har blitt funnet å signal kodet parametre: «nøkkel» som representerer ID-en for den trusselen som er hardkodet i hvert enkelt virus versjon. Den «sysid» parameteren vil vise den unike ID-en som er generert for hver annen vert. Den fanget prøver å bruke en algoritme som bruker følgende data som input verdier: kampanje-ID, Windows versjon, systemarkitektur, brukernavn og et tilfeldig heltall. En tredje parameter kalt «resp» inneholder svarene fra hacker-kontrollere.

En liste over alle tilgjengelige kommandoer som har blitt tatt fra live-nettverket analyse avslører følgende arsenal:

  • nop ※ Dette vil gjøre det mulig for en holde-live funksjonalitet som stadig probe nettverkstilkoblingen for å holde den i gang.
  • tun ※ Dette vil sette opp en tunnel-tilkobling fra infiserte verter som stammer fra RDP-port (3389). Noen av de tatt prøver har blitt funnet å kjøre et omfattende utvalg av kommandoer. De vil trekke og slippe og OpenSSH binære, konfigurere den lokale RDP Warapper Bibliotek Programvare og opprette en tilhørende brukernavn kalt «supportaccount» med et forhåndsangitt passord «Ghar4f5″. Denne brukeren vil bli lagt til «Remote Desktop Brukere» og «Administratorer» grupper. Senere versjoner vil erstatte denne tredjeparts apper med innebygd Windows eksternt skrivebord-programmet.
  • slp ※ Dette vil sette en hacker-definert tidsavbrudd.
  • fox ※ Dette vil instruere de lokale eksempel å kopiere Mozilla Firefox brukerprofil.
  • chrome ※ Dette vil gjøre det samme for Google Chrome.
  • killtun ※ Dette vil drepe en aktiv SSH tunnel prosessen.
  • tunlist ※ Denne kommandoen vil liste alle aktive SSH tunneler.
  • killalltuns ※ Dreper alle SSH-tunnel prosesser.
  • shell ※ Dette vil utføre en gitt shell-kommando og send svaret til den aktive C&C-server.
  • legg ※ Denne kommandoen vil laste ned og kjøre en kjørbar fil fra en bestemt URl. Produksjonen vil bli rapportert til hacker-kontrollerte server.
  • sokker ※ Dette vil skape en omvendt SSH tunnel som er å kjøre mellom C&C-server og andre kunder.
  • selfkill ※ Dette vil fjerne den aktive malware fra infiserte maskiner.
  • loaddll ※ Dette er svært lik «load», men for DLL-filer.
  • bk ※ Dette vil sette omvendt SSH tunnel for å bruke et C&C er angitt ekstern vert i stedet for den faste server.
  • kapre ※ Denne kommandoen vil kapre en gitt bruker-konto med en kjent person. Dette gjøres ved å opprette en forhåndsinnstilling satsvis fil, som vil samhandle med Windows Registeret og Planlagte oppgaver tjenesten.
  • forcekill ※ Dette vil drepe alle prosesser ved hjelp av den Windows «taskkill» – kommandoen.
  • sethijack ※ Dette vil kontrollere en innebygd «alert» – mekanismen. Dette gjøres med et eget program som overvåker brukeren logge hendelser. Når en legitim bruker logger seg en innebygd atferd mønster vil automatisk start: «chrome» og «fox» – kommandoer kjøres, profiler vil bli kopiert til «supportaccount» bruker og varsling hacker-kontrollere.
  • chromeport ※ Dette implementerer den samme funksjonaliteten som «chrome». Dette vil også føre til «FlawedGrace» malware levering.

De fleste av ServHelper Trojan tar sikte på å levere FlawedGrace ROTTE. Det er en nyttelast som er levert gjennom Trojan som fungerer som en dropper. Så snart det er lansert en innebygd atferd mønsteret vil være i gang. Det vil skape, kryptere og lagre en konfigurasjonsfil som inneholder informasjon om hacker-kontrollerte server. Den FlawedGrace ROTTE bruker en separat binær protokoll for kommunikasjon og den kan bruke en annen port for kommunikasjon som er definert ved sin kontrollere. Standard er 443.

En liste over kommandoer som har blitt identifisert fra et nettverk analyse er følgende:

Det faktum at ServHelper Trojan og tilhørende FlawedGrace ROTTE er buntet sammen i de fleste angrep kampanjer viser at trusselen skuespilleren bak det oppleves. All levering kampanjer så langt målet selskaper og ikke individuelle brukere. Vi forventer at fremtidige versjoner vil bli utviklet for å ha en enda mer farlig arsenal av skadelige handlinger.

Hvis datamaskinen ble smittet med ServHelper Trojan, du bør ha litt erfaring i å fjerne malware. Du bør kvitte seg med denne Trojaneren så raskt som mulig før det kan få sjansen til å spre videre og infisere andre datamaskiner. Du bør fjerne Trojan og følg steg-for-trinn-instruksjoner som er gitt nedenfor.

Advarsel, har flere anti-virusprogrammer oppdaget mulige malware i ServHelper Trojan.

AntivirusprogramvareVersjonGjenkjenning
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.bpjlwd
VIPRE Antivirus22224MalSign.Generic
K7 AntiVirus9.179.12403Unwanted-Program ( 00454f261 )
McAfee-GW-Edition2013Win32.Application.OptimizerPro.E
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo
Malwarebytesv2013.10.29.10PUP.Optional.MalSign.Generic
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.825
VIPRE Antivirus22702Wajam (fs)
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)

ServHelper Trojan atferd

  • ServHelper Trojan kobles til Internett uten din tillatelse
  • Distribuerer seg selv via betal-per-installere eller er samlet med tredjepartsprogramvare.
  • ServHelper Trojan deaktiverer installert sikkerhetsprogramvare.
  • Bremser internettforbindelse
  • Stjeler eller bruker din fortrolig Data
  • Integreres nettleseren via nettleserutvidelse ServHelper Trojan
  • Endrer brukerens hjemmeside
  • Omdirigere nettleseren til infiserte sider.
  • Vanlige ServHelper Trojan atferd og noen andre tekst emplaining som informasjon knyttet til problemet
  • Viser falske sikkerhetsvarsler Pop-ups og annonser.
  • Installerer selv uten tillatelser
Last ned verktøyet for fjerningfjerne ServHelper Trojan

ServHelper Trojan berørt Windows OS-versjoner

  • Windows 1030% 
  • Windows 843% 
  • Windows 727% 
  • Windows Vista3% 
  • Windows XP-3% 

ServHelper Trojan geografi

Eliminere ServHelper Trojan fra Windows

Slett ServHelper Trojan fra Windows XP:

  1. Klikk på Start for å åpne menyen.
  2. Velg Kontrollpanel og gå til sammenlegge eller fjerne planer.win-xp-control-panel ServHelper Trojan
  3. Velge og fjerne det uønskede programmet.

Fjern ServHelper Trojan fra din Windows 7 og Vista:

  1. Åpne Start -menyen og velg Kontrollpanel.win7-control-panel ServHelper Trojan
  2. Flytte til Avinstaller et program
  3. Høyreklikk uønskede programmet og velg Avinstaller.

Slett ServHelper Trojan fra Windows 8 og 8.1:

  1. Høyreklikk på nederst til venstre og velg Kontrollpanel.win8-control-panel-search ServHelper Trojan
  2. Velg Avinstaller et program og Høyreklikk på uønskede app.
  3. Klikk Avinstaller .

Slett ServHelper Trojan fra din nettlesere

ServHelper Trojan Fjerning av Internet Explorer

  • Klikk på Gear-ikonet og velg Alternativer for Internett.
  • Gå til kategorien Avansert og klikk Tilbakestill.reset-ie ServHelper Trojan
  • Når du sletter personlige innstillinger , og klikk Tilbakestill igjen.
  • Klikk Lukk og velg OK.
  • Gå tilbake til girikonet, velge Administrer tilleggverktøylinjer og utvidelser, og slette uønskede utvidelser.ie-addons ServHelper Trojan
  • Gå til Søkeleverandører og velg en ny standard søkemotor

Slette ServHelper Trojan fra Mozilla Firefox

  • Angi "about:addons" i URL -feltet.firefox-extensions ServHelper Trojan
  • Gå til utvidelser og slette mistenkelige leserutvidelser
  • Klikk på menyen, klikker du spørsmålstegnet og åpne Firefox hjelp. Klikk på Oppdater Firefox-knappen og velg Oppdater Firefox å bekrefte.firefox_reset ServHelper Trojan

Avslutte ServHelper Trojan fra Chrome

  • Skriv inn "chrome://extensions" i URL -feltet og trykk Enter.extensions-chrome ServHelper Trojan
  • Avslutte upålitelige kikker extensions
  • Starte Google Chrome.chrome-advanced ServHelper Trojan
  • Åpne Chrome-menyen, klikk Innstillinger → Vis avanserte innstillinger, Velg Tilbakestill leserinnstillinger og klikk Tilbakestill (valgfritt).
Last ned verktøyet for fjerningfjerne ServHelper Trojan