Jak usunąć ServHelper Trojan

W ServHelper Trojan-to groźna broń przeciwko użytkowników komputerów na całym świecie. Uderza głównie przez phishingowe wiadomości e-mail. Nasz artykuł zawiera przegląd jego zachowanie w zależności od zebranych próbek i raportów, również może być przydatne podczas próby usunięcia wirusa.

W ServHelper Trojan jest aktywny złośliwy trojan, który wykorzystuje bardzo wyrafinowany sposób zarażenia, aby dostarczyć jeszcze jedno zagrożenie pod nazwą „FlawedGrace”. Pierwsze egzemplarze kampanii ataki zostały ujawnione jeszcze w listopadzie 2018 roku, kiedy oznaki jego próbki zostały wykryte.

virus-16

Pierwotnego zakażenia było zrobione za pomocą małego rozmiaru wiadomości e-mail typu phishing kampanii docelowych instytucji finansowych. Stanowią one, jak komunikacja wewnętrzna, wiadomości serwisowych lub innych wiadomości, które zostały bardzo prawdopodobne, będą otwarte przez odbiorców. Je zawierają dokumenty dołączone do wszystkich popularnych formatów: bogate w dokumenty tekstowe, arkusze kalkulacyjne, bazy danych i prezentacji. Jak tylko otworzyli ofiar zostanie wyświetlony monit z prośbą o włączenie wbudowanych skryptów. To doprowadzi do przesyłki.

Następna kampania była skierowana w sprzedaży detalicznej w branży w połączeniu z różnymi załącznikami, a mianowicie „.stacja”, „.pub” lub „.визом”.

Grudnia 2018 roku widziałem innego wyjścia ServHelper Trojan tym razem z użyciem kombinacji różnych technik — nie tylko phishing dokumentów, a także PDF-wiadomości zawierających linki do złośliwych witryn, które są opisane jako „PDF i wtyczek”. Zawartość ciała wiadomości e-mail może zawierać również bezpośrednie linki do wirusowe pliki. Plików PDF, który rozprzestrzenia się zmusić użytkowników uwierzyć, że muszą pobrać nową wersję aplikacji Adobe Reader, aby poprawnie go. Są one wyświetlane łącza do niebezpiecznych szczepów.

Oznacza to, że jest to możliwe dla innych metod dostawy, może być również stosowany:

  • Zestaw Instalatorów — przestępcy mogą próbować tworzyć pliki instalacyjne popularnego oprogramowania, które zawierają wirusowe kod. Odbywa się to poprzez podejmowanie legalnego pliki z oficjalnych źródeł, w tym i niezbędne wskazówki. Popularne wybory obejmują narzędzia systemowe, kreatywność apartamenty, wydajność i aplikacji biurowych itp.
  • Zainfekowanych stron internetowych — hakerzy mogą tworzyć stron phishingowych, naśladując znane portale, strony docelowe produktów, wyszukiwarek i innych. Są one wykonane poprzez korzystanie z podobnie brzmiących nazw domen i certyfikatów bezpieczeństwa, które mogą być albo samopodpisany, albo kupili u władz certyfikat przy użyciu fałszywych lub skradzionych poświadczenia.
  • Przeglądarka porywacze — są szkodliwe pluginy, które są kompatybilne z większością popularnych przeglądarek internetowych. Te przypadki w większości przypadków można znaleźć w odpowiednich repozytoriów publikacji z fałszywe opinie użytkowników i informacje o autorze. Opublikowane opisy będą obiecywać dodatkami i optymalizacji wydajności. W tym samym czasie, jak tylko są one zainstalowane ważne zmiany mogą nastąpić w przeglądarkach — zmiana ustawienia, takie jak domyślna strona główna, wyszukiwarki i strony nowej karty. Jest to robione po to, aby przekierować ofiar fabrycznie ukryte strony.
  • Peer-to-peer sieci — pliki mogą również być podzielone na sieciach, takich jak BitTorrent, gdzie internauci aktywnie wystawi jako legalne i pirackich treści.

Jak kampanie dalszego postępu spodziewamy się, że będzie uruchomiony jako szkodliwego programu jest aktualizowana nowej phishing-kampanii.

Jak tylko ServHelper Trojan zaraziła gospodarzy będzie uruchomiona model postępowania, na podstawie bieżącej konfiguracji. Najważniejsze jest to sam silnik jest napisany w Delphi, co oznacza, że kod źródłowy może być łatwo zmodyfikowany między итерациями.

Prawie wszystkie z nich natychmiast Skonfigurować lokalną Trojanów-klient pozwala atakującemu utworzyć bezpieczne połączenie z własnych serwerów. „Tunel” wersja ServHelper Trojan będzie dostosować odwrotny tunel SSH. Oznacza to, że przestępcy będą mogli korzystać z jedną oprogramowanie pulpitu zdalnego dostępu do zainfekowanych komputerów. Jak tylko to nastąpi złośliwym oprogramowaniem automatycznie analizuje system i znaleźć wszystkie konta użytkowników. Będą zapieczone, a także wszelkie zapisane dane logowania przeglądarki internetowej. Oznacza to, że ServHelper Trojan można uzyskać dostęp do wszystkich ważnych ustawień najpopularniejszych przeglądarek internetowych:

  • Ciasteczka
  • Parametry
  • Zakładki
  • Historia
  • Przechowywać Ustawienia Strony
  • Zapisane Dane Logowania

Wszystkich znanych wariantów Trojana korzystanie z portu 443, które są używane do sesji HTTPS i 80, który jest przeznaczony do normalnej dostawy stronie serwera. Z punktu widzenia administratora sieci zainfekowanych maszyn wyślemy uzasadnione ruchu, jak niektóre aplikacje pulpitu zdalnego może skierować ruch przez te porty.

Większość hakerów-kontrolowane serwery znajdują się na „.RA” domeny najwyższego poziomu, które mogą być znak ostrzegawczy dla administratorów. Niektóre z nowszych prezentowane są również niektóre domeny najwyższego poziomu „.bit” typu, które również są związane z kryptowalutę swój Namecoin.

Po informacji zawartych w gubernatorów serwera znaleziono sygnału, zakodowanych opcji: „klucz” , który reprezentuje identyfikator zagrożeniem, który jest wbudowany w każdy wirus wersja. W „sysid” opcja pokaże unikalny identyfikator, który jest generowany dla każdego węzła. Pobrane próbki, korzystać z algorytmu, który wykorzystuje następujące dane jako wartości wejściowych: identyfikator kampanii, wersja Windows, architektura systemu, nazwę użytkownika i liczbę losową. Trzeci parametr, zwany „rep” zawiera odpowiedzi od hakerów kontrolerów.

Lista wszystkich dostępnych poleceń, które zostały zrobione z analizy żywej sieci pokazuje następujący arsenał:

  • NOP — to pozwoli utrzymać w porządku funkcjonalność, która będzie stale sprawdzić, czy połączenie z siecią, aby zachować to działa.
  • Thun — to pozwoli stworzyć tunel związku z infekującym gospodarzy, pochodzących z РДП port (3389). Niektóre pobrane próbki zostały znalezione w celu uruchomienia szeroki zestaw poleceń. Będą wydobywać i upadki i binarnego pakietu OpenSSH, skonfigurować lokalny oprogramowanie РДП biblioteka Warapper i tworzenie odpowiedniej nazwy użytkownika pod nazwą „supportaccount” z określonym hasłem „Ghar4f5″. Ten użytkownik zostanie dodany do „Użytkownicy pulpitu zdalnego” i „administratorzy” grupy. Nowsze wersje będą zastąpić tę aplikację za pomocą wbudowanego w Windows aplikacji pulpitu zdalnego.
  • WPRYB — to pozwoli ustawić haker pewne oczekiwania śpiącego.
  • lis — to wskazanie lokalnych wystąpienie do kopiowania Мозилла Firefox profilu użytkownika.
  • chrome — to będzie zrobić to samo dla Google Chrome.
  • killtun — to zabije aktywne SSH tunel proces.
  • tunlist — to polecenie wyświetla listę wszystkich aktywnych tuneli SSH.
  • killalltuns — zabicie wszystkich SSH tunel procesów.
  • osłona — to pozwoli wykonać to polecenie powłoki i wysłać odpowiedź na aktywny C&C serwer.
  • pobierz — ta drużyna będzie pobrać i uruchomić plik wykonywalny z określonego adresu URL. Dane wyjściowe zostaną przedstawione haker serwerze.
  • skarpetki — to pozwoli stworzyć odwrotny tunel SSH, który będzie kursować między C&C-serwera i innych klientów.
  • selfkill — to pozwoli wyeliminować aktywne złośliwe oprogramowanie z zainfekowanych maszyn.
  • loaddll — jest to bardzo podobne do „pobrania”, ale dla plików DLL.
  • BC — to pozwoli ustawić odwrotny tunel SSH do korzystania Z&C określonym hostem zdalnym zamiast sztywno serwerze.
  • uchwycić — ta drużyna będzie uchwycić określonego konta Użytkownika z kimś sławnym. Odbywa się to poprzez stworzenie określonego plik wsadowy, który będzie współpracować z rejestrem Windows i zaplanowanych zadań służbowych.
  • forcekill — to zabije wszystkie procesy, które także używają Windows „taskkill” zespołu.
  • sethijack — to będzie kontrolować wbudowany w „powiadomienia” mechanizm. Odbywa się to za pomocą oddzielnego programu, który śledzi wydarzenia logowania użytkownika do systemu. Gdy legalny użytkownik loguje wbudowany wzorzec behawioralny automatycznie początku: „chrome” i „lis” zespoły będą pracować, profile zostaną skopiowane do „supportaccount” użytkowników i alerty haker kontrolerów.
  • chromeport — to realizuje tę samą funkcjonalność, jak „chrome”. Doprowadzi to również do „FlawedGrace” dostarczania złośliwego oprogramowania.

Większość ServHelper Trojan staramy się dostarczyć FlawedGrace szczur. Jest to ładunek, który jest dostarczany przez trojan, który działa jak kroplówki. Jak tylko zostanie uruchomiony wbudowany szablon postępowania zostanie uruchomiony. Pozwoli to na utworzenie, szyfrowanie i zapisać plik konfiguracyjny, który zawiera informacje na temat hakerów serwerze. W FlawedGrace szczur wykorzystuje prywatne binarny protokół do komunikacji i on może użyć innego portu do komunikacji, jak określa go kontrolerami. Domyślny 443.

Lista drużyn, które zostały zidentyfikowane na podstawie analizy sieci jest następujący:

Fakt, że ServHelper Trojan i związane FlawedGrace szczury tworzą większość kampanii atak pokazuje, że aktor zagrożenie za to przeżywali. Wszystkie kampanie dostawy tak daleko docelowych firm, a nie poszczególnych użytkowników. Spodziewamy się, że przyszłe wersje będą opracowane jeszcze bardziej niebezpieczny Arsenał szkodliwych działań.

Jeśli twój komputer jest zainfekowany ServHelper Trojan, trzeba mieć trochę doświadczenia w usuwania złośliwego oprogramowania. Musisz pozbyć się tego szkodliwego tak szybko jak to możliwe, zanim może on mieć możliwość rozprzestrzeniać się dalej i zainfekować inne komputery. Trzeba usunąć Trojan i postępuj krok po kroku zgodnie z instrukcją poniżej.

Ostrzeżenie, wieloraki anty-wirus skanery wykryły możliwe malware w ServHelper Trojan.

Oprogramowanie antywirusoweWersjaWykrywanie
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.bpjlwd
McAfee5.600.0.1067Win32.Application.OptimizerPro.E
K7 AntiVirus9.179.12403Unwanted-Program ( 00454f261 )
ESET-NOD328894Win32/Wajam.A
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.825
VIPRE Antivirus22224MalSign.Generic
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo
Dr.WebAdware.Searcher.2467
VIPRE Antivirus22702Wajam (fs)

Zachowanie ServHelper Trojan

  • Kradnie lub wykorzystuje dane poufne
  • Pokazuje fałszywe alerty zabezpieczeń, pop-upów i reklam.
  • Spowalnia połączenie internetowe
  • ServHelper Trojan dezaktywuje zainstalowane zabezpieczenie oprogramowanie.
  • Integruje się z przeglądarki internetowej poprzez rozszerzenie przeglądarki ServHelper Trojan
  • ServHelper Trojan zawiera komercyjnych ogłoszeń
  • Przekierowanie przeglądarki do zainfekowanych stron.
  • Modyfikuje ustawienia przeglądarki i pulpitu.
  • Zmienia stronę użytkownika
  • Instaluje się bez uprawnień
  • Typowe zachowanie ServHelper Trojan i kilka innych tekst emplaining som informacji dotyczących zachowania
Pobierz za darmo narzędzie do usuwaniaAby usunąć ServHelper Trojan

ServHelper Trojan dokonane wersje systemu operacyjnego Windows

  • Windows 1027% 
  • Windows 837% 
  • Windows 726% 
  • Windows Vista8% 
  • Windows XP2% 

Geografia ServHelper Trojan

Wyeliminować ServHelper Trojan z Windows

Usuń ServHelper Trojan z Windows XP:

  1. Kliknij na Start , aby otworzyć menu.
  2. Wybierz Panel sterowania i przejdź do Dodaj lub usuń programy.win-xp-control-panel ServHelper Trojan
  3. Wybrać i usunąć niechciane program.

Usuń ServHelper Trojan od twój Windows 7 i Vista:

  1. Otwórz Start menu i wybierz Panel sterowania.win7-control-panel ServHelper Trojan
  2. Przesunąć do odinstalować program
  3. Kliknij prawym przyciskiem myszy -trzaskać u niechcianych aplikacji i wybierz Odinstaluj.

Wymaż ServHelper Trojan od Windows 8 i 8.1:

  1. Kliknij prawym przyciskiem myszy -trzaskać u lewym dolnym rogu i wybierz Panel sterowania.win8-control-panel-search ServHelper Trojan
  2. Wybierz Odinstaluj program i kliknij prawym przyciskiem myszy -trzaskać u niechcianych aplikacji.
  3. Kliknij przycisk Odinstaluj .

Usuń ServHelper Trojan od Twojej przeglądarki

ServHelper Trojan Usunięcie z Internet Explorer

  • Kliknij na ikonkę i wybierz polecenie Opcje internetowe.
  • Iść do zaawansowany patka i kliknij przycisk Resetuj.reset-ie ServHelper Trojan
  • Sprawdź usunąć ustawienia osobiste i ponownie kliknij przycisk Reset .
  • Kliknij przycisk Zamknij i wybierz OK.
  • Wróć do narzędzi ikonę, wybierz Zarządzaj dodatkamipaski narzędzi i rozszerzeniai usunąć niechciane rozszerzeń.ie-addons ServHelper Trojan
  • Przejdź do Wyszukiwarki i wybierz nowy domyślnej wyszukiwarki

Erase ServHelper Trojan z Mozilla Firefox

  • Wpisz "about:addons" do pola adresu URL .firefox-extensions ServHelper Trojan
  • Przejdź do rozszerzenia i usunąć rozszerzenia przeglądarki podejrzanych
  • Kliknij na menu, kliknij znak zapytania i otworzyć Firefox pomoc. Kliknij na Odśwież Firefox przycisk i wybierz Odśwież Firefox do potwierdzenia.firefox_reset ServHelper Trojan

Zakończyć ServHelper Trojan od Chrome

  • Typ w "chrome://extensions" w polu adresu URL i naciśnij Enter.extensions-chrome ServHelper Trojan
  • Zakończyć niewiarygodne przeglądarki rozszerzenia
  • Odnawiać zapas towarów Google Chrome.chrome-advanced ServHelper Trojan
  • Otwórz Chrome menu, kliknij Ustawienia → Pokaż zaawansowane ustawienia, wybierz Resetuj ustawienia przeglądarki i kliknij przycisk Reset (opcjonalne).
Pobierz za darmo narzędzie do usuwaniaAby usunąć ServHelper Trojan