Как удалить ServHelper Trojan

В ServHelper Trojan-это грозное оружие против компьютерных пользователей по всему миру. Он поражает в основном через фишинговые сообщения электронной почты. Наша статья дает обзор его поведение в зависимости от собранных образцов и отчетов, также может быть полезным при попытке удалить вирус.

virus-16

В ServHelper Trojan является активным вредоносным бэкдор, который использует очень сложный способ заражения, чтобы доставить еще одну угрозу под названием “FlawedGrace”. Первые экземпляры кампании атаки были выявлены еще в ноябре 2018 года, когда признаки его образцы были обнаружены.

Первичного инфицирования было сделано с помощью небольшого размера по электронной почте фишинг-кампании, целевых финансовых институтов. Они представляют, как внутренние коммуникации, сервисных сообщений или других сообщений, которые были очень вероятно, будут открыты получателями. Их включают в прилагаемые документы всех популярных форматов: богатые текстовые документы, электронные таблицы, баз данных и презентаций. Как только они открыли жертв появится запрос с просьбой включить встроенных скриптов. Это приведет к доставке груза.

Следующая кампания была направлена на розничной индустрии в сочетании с различными вложениями, а именно «.док», «.паб» или «.визом».

Декабря 2018 года видел другого выхода ServHelper Trojan на этот раз с использованием сочетания различных техник — не только фишинг документов, а также PDF-сообщений, содержащих ссылки на вредоносные сайты, описанные как “PDF и плагины”. Содержание тела сообщений электронной почты может также содержать прямые ссылки на вирусные файлы. PDF-файлов, которое распространяется заставить пользователей поверить, что они должны скачать новую версию приложения Adobe Reader в чтобы правильно его. Они показаны ссылки на опасные штаммы.

Это означает, что вполне возможно для других методов доставки, может также использоваться:

  • Набор Монтажников — преступники могут попытаться создать установочные файлы популярного программного обеспечения, которые содержат вирусный код. Это делается путем принятия законного файлы из официальных источников, в том числе и необходимые указания. Популярные выборы включают в себя системные утилиты, творчество люксы, производительность и офисных приложений и т. д.
  • Вредоносные сайты — хакеры могут создавать фишинговые сайты, имитирующие известные порталы, целевые страницы продуктов, поисковых систем и других. Они сделаны путем использование сходно звучащих доменных имен и сертификатов безопасности, которые могут быть либо самоподписанный, либо купили у властей сертификат, используя поддельные или украденные учетные данные.
  • Браузер угонщиков — они представляют вредоносные плагины, которые совместимы с наиболее популярными веб-браузерами. Эти случаи в большинстве случаев можно найти на соответствующих репозиториев публикации с поддельные отзывы пользователей и информация о разработчике. Опубликованные описания будут обещать дополнениями и оптимизации производительности. В то же время, как только они установлены важные изменения могут произойти в браузерах — изменение параметры, такие как домашнюю страницу по умолчанию, поисковая и страницу новой вкладки. Это делается для того, чтобы перенаправить жертв предустановленной скрытые страницы.
  • Файлообменные сети — файлы также могут быть разделены на сетях, таких как BitTorrent, где интернет-пользователи активно постит как законные и пиратский контент.

Как кампании дальнейшего прогресса мы ожидаем, что будет запущен в качестве вредоносной программы обновляется новой фишинг-кампаний.

Как только ServHelper Trojan заразила хозяев она будет запущена модель поведения, исходя из текущей конфигурации. Главное сам движок написан на Delphi, что означает, что исходный код может быть легко модифицирован между итерациями.

Почти все они мгновенно Настроить локальную Троян-клиент позволяет злоумышленникам создать безопасное соединение с собственных серверов. “Тоннель” версия ServHelper Trojan будет настроить обратный SSH туннель. Это означает, что преступники смогут использовать единое программное обеспечение удаленного рабочего стола для доступа к зараженным компьютерам. Как только это будет сделано вредоносных программ автоматически проанализирует систему и найти все учетные записи пользователей. Они будут захвачены, а также любые сохраненные учетные данные веб-браузера. Это означает, что ServHelper Trojan можете получить доступ ко всем важным параметрам самых популярных веб-браузеров:

  • Печенье
  • Параметры
  • Закладки
  • История
  • Хранить Настройки Сайта
  • Сохраненные Учетные Данные

Всех известных вариантов Троянской использование порта 443, которые используются для сеансов HTTPS и 80, который предназначен для нормальной доставки веб-странице сервера. С точки зрения администратора сети зараженные машины вышлем легитимного трафика, как некоторые приложения удаленного рабочего стола могут направить трафик через эти порты.

Большинство хакеров-контролируемые серверы находятся на “.ПВ” домены верхнего уровня, которые могут быть предупреждающий знак для администраторов. Некоторые из более поздних версий также представлены некоторые домены верхнего уровня для “.бит” типа, которые также связаны с криптовалютой свой Namecoin.

После информации, содержащейся в управляющих серверов были найдены сигнала, закодированных параметров: “ключ” , который представляет идентификатор опасный, который встроен в каждый отдельный вирус версия. В “sysid” параметр покажет уникальный идентификатор, который генерируется для каждого отдельного узла. Захваченные образцы, использовать алгоритм, который использует следующие данные в качестве входных значений: идентификатор кампании, версия Windows, архитектура системы, имя пользователя и случайное число. Третий параметр, называемый “респ” содержит ответы от хакерских контроллеров.

Список всех доступных команд, которые были захвачены из анализа живой сети показывает следующий арсенал:

  • НОП â€” это позволит держать-жив функциональность, которая будет постоянно проверить подключение к сети для того, чтобы сохранить это работает.
  • Тун — это позволит создать туннель связи с зараженным хозяев, происходящих из РДП порт (3389). Некоторые захваченные образцы были найдены для запуска обширный набор команд. Они будут добывать и падения и бинарный пакет OpenSSH, настроить локальное программное обеспечение РДП библиотека Warapper и создание соответствующего имени пользователя под названием “supportaccount” с заданным паролем “Ghar4f5”. Этот пользователь будет добавлен в «Пользователи удаленного рабочего стола» и «администраторы» группы. Более поздние версии будут заменить это стороннее приложение с помощью встроенного в Windows приложение удаленного рабочего стола.
  • СЛП â€” это позволит установить хакер определенные ожидания спящего.
  • лиса — это указание местным экземпляр для копирования Мозилла Firefox профиля пользователя.
  • chrome — это будет делать то же самое для Google Chrome.
  • killtun — это убьет активное SSH туннель процесс.
  • tunlist — эта команда выведет список всех активных SSH туннелей.
  • killalltuns — убивающий всех SSH туннель процессов.
  • оболочка — это позволит выполнить данную команду оболочки и отправить ответ на активный C&C сервер.
  • загрузить — эта команда будет скачать и запустить исполняемый файл с определенного URL-адреса. Выходные данные будут представлены хакер сервере.
  • носки — это позволит создать обратный SSH-туннель, который будет курсировать между С&C-сервера и другие клиенты.
  • selfkill — это позволит устранить активные вредоносные программы из зараженных машин.
  • loaddll — это очень похоже на “загрузить”, но для DLL файлов.
  • БК â€” это позволит установить обратный туннель SSH для использования С&C указанным удаленным узлом вместо жестко сервере.
  • захватить — эта команда будет захватить конкретной учетной записи Пользователя с известным человеком. Это делается путем создания заданного пакетный файл, который будет взаимодействовать с реестром Windows и запланированные служебных задач.
  • forcekill — это убьет все процессы, использующие Windows «taskkill» команды.
  • sethijack — это будет контролировать встроенный в “оповещения” механизм. Это делается с помощью отдельной программы, которая отслеживает события входа пользователя в систему. Когда легитимный пользователь входит встроенный поведенческий паттерн автоматически начала: “chrome” и “лиса” команды будут работать, профили будут скопированы в “supportaccount” пользователей и оповещения хакер контроллеров.
  • chromeport — это реализует ту же функциональность, как “chrome”. Это также приведет к “FlawedGrace” доставки вредоносных программ.

Большинство ServHelper Trojan стремимся доставить FlawedGrace крыса. Это груз, который доставляется через троян, который действует как капельница. Как только он будет запущен встроенный шаблон поведения будет запущен. Это позволит создать, зашифровать и сохранить файл конфигурации, который содержит информацию о хакерских сервере. В FlawedGrace крыса использует отдельный двоичный протокол для связи и он может использовать другой порт для общения, как определяется его контроллерами. По умолчанию 443.

Список команд, которые были определены на основе сетевого анализа заключается в следующем:

Тот факт, что ServHelper Trojan и связанные FlawedGrace крысы объединяются в большинство кампаний атака показывает, что актер опасным за это переживали. Все кампании доставки так далеко целевых компаний, а не отдельных пользователей. Мы ожидаем, что будущие версии будут разработаны еще более опасным Арсеналом вредоносных действий.

Если ваш компьютер заражен с ServHelper Trojan, вы должны иметь немного опыта в удаления вредоносных программ. Вы должны избавиться от этой вредоносной как можно быстрее, прежде чем он может иметь возможность распространяться дальше и заражать другие компьютеры. Вы должны удалить Trojan и следуйте шаг за шагом инструкции руководства приведены ниже.

Предупреждение, множественные антивирусные сканеры обнаружили возможные вредоносные программы в ServHelper Trojan.

Антивирусное программное обеспечениеВерсияОбнаружение
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.825
VIPRE Antivirus22224MalSign.Generic
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.bpjlwd
Malwarebytesv2013.10.29.10PUP.Optional.MalSign.Generic
McAfee5.600.0.1067Win32.Application.OptimizerPro.E
K7 AntiVirus9.179.12403Unwanted-Program ( 00454f261 )
McAfee-GW-Edition2013Win32.Application.OptimizerPro.E
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)
Malwarebytes1.75.0.1PUP.Optional.Wajam.A
ESET-NOD328894Win32/Wajam.A
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo
VIPRE Antivirus22702Wajam (fs)
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh

поведение ServHelper Trojan

  • Изменяет пользователя Главная страница
  • Перенаправление браузера на зараженных страниц.
  • Тормозит Интернет-соединение
  • Устанавливает себя без разрешений
  • Крадет или использует ваши конфиденциальные данные
  • Общее поведение ServHelper Trojan и некоторые другие текст emplaining som информация связанные с поведением
  • Распределяет через платить за установку или в комплекте с программным обеспечением сторонних производителей.
  • ServHelper Trojan показывает коммерческой рекламы
  • Интегрируется в веб-браузере через расширение браузера ServHelper Trojan
Скачать утилитучтобы удалить ServHelper Trojan

ServHelper Trojan осуществляется версий ОС Windows

  • Windows 1021% 
  • Windows 831% 
  • Windows 727% 
  • Windows Vista3% 
  • Windows XP18% 

География ServHelper Trojan

Ликвидации ServHelper Trojan от Windows

Удалите из Windows XP ServHelper Trojan:

  1. Нажмите на начать , чтобы открыть меню.
  2. Выберите Панель управления и перейти на Установка и удаление программ.win-xp-control-panel ServHelper Trojan
  3. Выбрать и Удалить нежелательные программы.

Удалить ServHelper Trojan от вашего Windows 7 и Vista:

  1. Откройте меню Пуск и выберите Панель управления.win7-control-panel ServHelper Trojan
  2. Перейти к Удаление программы
  3. Щелкните правой кнопкой мыши нежелательное приложение и выбрать Удалить.

Стереть ServHelper Trojan от Windows 8 и 8.1:

  1. Щелкните правой кнопкой мыши в нижнем левом углу и выберите Панель управления.win8-control-panel-search ServHelper Trojan
  2. Выберите удалить программу и щелкните правой кнопкой мыши на нежелательные приложения.
  3. Нажмите кнопку Удалить .

Удалить из вашего браузеров ServHelper Trojan

ServHelper Trojan Удаление от Internet Explorer

  • Нажмите на значок шестеренки и выберите пункт Свойства обозревателя.
  • Перейдите на вкладку Дополнительно и нажмите кнопку Сброс.reset-ie ServHelper Trojan
  • Проверить, Удалить личные настройки и снова нажмите кнопку Сброс .
  • Нажмите кнопку Закрыть и нажмите кнопку OK.
  • Вернуться к значок шестеренки, выбрать надстройкипанели инструментов и расширенияи удалить нежелательные расширений.ie-addons ServHelper Trojan
  • Перейти к Поставщиков поиска и выбрать новый по умолчанию поисковой системы

Стереть ServHelper Trojan от Mozilla Firefox

  • В поле URL введите «about:addons».firefox-extensions ServHelper Trojan
  • Перейти к расширения и удалить расширений подозрительных браузера
  • Нажмите на меню, нажмите кнопку с вопросительным знаком и открыть справку Firefox. Нажмите на Firefox кнопку Обновить и выберите Обновить Firefox для подтверждения.firefox_reset ServHelper Trojan

Прекратить ServHelper Trojan от Chrome

  • В «chrome://extensions» введите в поле URL-адрес и нажмите Enter.extensions-chrome ServHelper Trojan
  • Прекратить ненадежных браузера расширений
  • Перезапустить Google Chrome.chrome-advanced ServHelper Trojan
  • Откройте меню Chrome, нажмите кнопку Параметры → Показать дополнительные параметры, выберите Сброс настроек браузера и нажмите кнопку Сброс (необязательно).
Скачать утилитучтобы удалить ServHelper Trojan