Ta bort ServHelper Trojan

Den ServHelper Trojan är ett farligt vapen som används mot datoranvändare i hela världen. Det smittar främst via nätfiske e-postmeddelanden. Vår artikel ger en översikt av sitt beteende enligt de insamlade prover och tillgängliga rapporter, även om det kan vara till hjälp i ett försök att ta bort viruset.

Den ServHelper Trojan är en aktiv bakdörr för skadlig kod som använder en mycket komplicerad infektion metod för att leverera ytterligare ett hot som heter ”FlawedGrace”. Första fall av attack kampanj identifierades redan i November 2018 när tecknen på sina prover upptäcktes.

virus-16

Den ursprungliga infektionen skedde via en små-och medelstora e-phishing kampanj som riktade finansiella institutioner. De poserade som intern kommunikation, service meddelanden eller andra meddelanden som mycket sannolikt kommer att vara öppnats av mottagarna. Deras kommer att inkludera bifogade dokument av alla populära filformat: rtf-dokument, kalkylark, databaser och presentationer. Så fort de öppnas av den som har utsatts visas ett meddelande som ber dem att aktivera den inbyggda skript. Detta kommer att leda till nyttolasten leverans.

Nästa kampanj riktad detaljhandeln med en kombination av olika bilagor, nämligen ”.doc”, ”.pub”, eller ”.wiz”.

December 2018 såg en annan utgåva av ServHelper Trojan här gången med en blandning av olika tekniker — inte bara phishing-dokument, men även PDF-postmeddelanden som innehåller länkar till skadliga webbplatser beskrivs som ”Adobe PDF-plugins”. Kroppen innehållet i e-postmeddelanden kan också innehålla direkta länkar till virus filer. PDF-filer som distribueras tvinga användare till att tro att de behöver ladda ner en ny version av Adobe Reader för att kunna visa det. De visas länkar till de farliga stammar.

Detta innebär att det är mycket möjligt, för andra metoder användas:

  • Bunt Installatörer — De kriminella försök att skapa installationsfiler för populära program som innehåller virus kod. Detta görs genom att ta den legitima filer från deras officiella källor och med de anvisningar som behövs. Populära alternativ inkluderar system utilities, kreativitet sviter, produktivitet och office-appar och etc.
  • Skadliga Webbplatser — hackare kan skapa webbplatser för nätfiske att imitera kända ladda ner portaler, produkt målsidor, sökmotorer och andra. De är gjorda med hjälp av liknande klingande domännamn och säkerhetscertifikat som kan vara antingen ett självsignerat eller köpt från certifikatutfärdare med hjälp av falska eller stulna inloggningsuppgifter.
  • Webbläsare Kapare — De representerar skadliga plugins som är förenlig med de mest populära webbläsarna. Dessa instanser kan oftast hittas på den relevanta arkiv som publiceras med falska omdömen och information för utvecklare. Postat beskrivningar kommer att lova har tillägg och prestanda optimeringar. På samma gång så snart som de är installerade på viktiga förändringar kan ske i den webbläsare — ändring av inställningar som standard hemsida, sökmotor och nya flikar. Detta görs i syfte att omdirigera offer till en förutbestämd hacker-kontrollerad sida.
  • Fildelning-Nät — filer kan också delas på nätverk som BitTorrent där Internet-användare aktivt efter både legitimt och pirate innehåll.

Som kampanjer gå vidare räknar vi med att nya phishing-kampanjer lanseras som den skadliga koden i sig är uppdaterad.

Så snart ServHelper Trojan har infekterade värdar att det kommer att lansera ett beteende mönster som är baserat på den aktuella konfigurationen. Den viktigaste motorn i sig är skriven i Delphi som innebär att källkoden kan enkelt ändras mellan iterationer.

Nästan alla av dem kommer att omedelbart ställa upp en lokal Trojan-klient som tillåter angripare utifrån att upprätta en säker anslutning till sina egna servrar. ”Tunnel” – version av ServHelper Trojan kommer att konfigurera en omvänd SSH-tunnel. Detta innebär att brottslingar kommer att kunna använda vanliga Remote Desktop-programvara för att få åtkomst till den infekterade datorer. Så fort detta är gjort malware kommer motorn att automatiskt analysera systemet och hitta till alla användarkonton. De kommer att vara kapade samt alla lagrade webbläsare referenser. Detta innebär att ServHelper Trojan kan komma åt alla parametrar som är viktiga av de mest populära webbläsare:

  • Cookies
  • Inställningar
  • Bokmärken
  • Historik
  • Lagras Webbplatsinställningar
  • Lagras Konto Referenser

Alla kända varianter av Trojan använda port 443, som används för HTTPS sessioner och 80 som är för normal web server sidan leverans. Från ett nätverk administratörens perspektiv äventyras maskinerna kommer att skicka legitim trafik som vissa remote desktop-program kan dirigera trafik via dessa hamnar.

De flesta av hacker-kontrollerade servrar som är placerade på ”.pw” top-level domain, gtld) som kan vara en varningssignal för administratörer. Några av de senare versionerna har också några top-level domain ”.lite” typ som är också i samband med Namecoin cryptocurrency.

EFTER information som ingår i ledning och styrning av servrar har funnit att signalen kodade parametrar: ”nyckel” som representerar ID av det hot som den är hårdkodad i varje separat virus version. Den ”sysid” parameter kommer att visa det unika ID som genereras för varje annan värd. De tagna proverna använda en algoritm som använder följande data som ingångsvärden: kampanj-ID, Windows version, System arkitektur, användarnamn och ett slumpmässigt heltal. En tredje parameter som kallas ”resp” innehåller svar från hacker-styrenheter.

En lista på alla tillgängliga kommandon som har tagits från levande nätverk analys visar följande arsenal:

  • nop — Detta kommer att möjliggöra ett keep-alive-funktionalitet som ständigt kommer att söka av nätverksanslutning för att hålla den igång.
  • tun — Detta kommer att ställa upp i en tunnel anslutning från infekterade värdar med ursprung från RDP-port (3389). Några av tagna prover har visat att köra ett omfattande urval av kommandon. De kommer att packa upp och släpp och OpenSSH binära, konfigurera den lokala RDP Warapper Bibliotek Programvara och skapa en tillhörande användarnamn som kallas ”supportaccount” med ett förinställt lösenord ”Ghar4f5″. Denna användare kommer att läggas till ”Remote Desktop Användare” och ”Administratörer” grupper. Senare versioner kommer att ersätta denna tredje part app med inbyggd Windows remote desktop.
  • slp — Detta kommer att ställa en hacker-definitionen sova timeout.
  • fox — Det kommer att instruera lokala exempel för att kopiera Mozilla Firefox användarprofil.
  • chrome — Det kommer att göra samma sak för Google Chrome.
  • killtun — Det kommer att döda en aktiv SSH-tunnel för processen.
  • tunlist — Detta kommando kommer att lista alla aktiva SSH-tunnlar.
  • killalltuns — Dödar alla SSH-tunnel processer.
  • skal — Detta kommer att exekvera en viss skalkommando och skicka svaret till aktiv C&C-server.
  • ladda — Detta kommando kommer att ladda ner och köra en körbar från en viss Webbadress. Produktionen kommer att rapporteras till hacker-kontrollerad server.
  • strumpor — Det kommer att skapa en omvänd SSH-tunnel som ska köras mellan C&C-servern och andra kunder.
  • selfkill — Det kommer att ta bort den aktiva malware från infekterade maskiner.
  • loaddll — det Här är mycket liknande att ”ladda” men för DLL-filer.
  • bk — Detta kommer att ställa den omvända SSH-tunnel för att använda en C&C angivna remote host istället för hårdkodade server.
  • kapa — Detta kommando kommer att kapa ett visst användarkonto med en känd person. Detta görs genom att skapa en preset-batch-fil som kommer att interagera med Windows Registret och Schemalagda uppgifter service.
  • forcekill — Det kommer att döda alla processer som använder Windows ”taskkill” – kommandot.
  • sethijack — Detta kommer att kontrollera en inbyggd ”alert” – mekanism. Detta görs genom att ett separat program som övervakar användarens inloggning händelser. När en legitim användare loggar ett inbyggt beteende mönster kommer att starta automatiskt: ”chrome” och ”fox” – kommandon kommer att köra, profiler kommer att kopieras till den supportaccount” användare och varna hacker-styrenheter.
  • chromeport — Detta genomför samma funktionalitet som ”chrome”. Detta kommer också att leda till ”FlawedGrace” malware leverans.

De flesta av ServHelper Trojan som mål att leverera FlawedGrace RÅTTA. Det är en nyttolast som levereras via en Trojan som fungerar som en pipett. Så snart den lanseras ett inbyggt beteende mönster kommer att vara igång. Det kommer att skapa, kryptera och lagra en konfigurationsfil som innehåller information om hacker-kontrollerad server. Den FlawedGrace RÅTTA använder en separat binära protokoll för kommunikation och kan använda en annan port för kommunikation som definieras av dess styrkort. Standard är 443.

En lista över de kommandon som har identifierats från ett nätverk för analys är följande:

Det faktum att ServHelper Trojan och tillhörande FlawedGrace RÅTTA är sammanförs i de flesta av attacken kampanjer visar att hotet skådespelaren bakom det upplevs. Alla leveranser kampanjer så långt målet företag och inte enskilda användare. Vi räknar med att framtida versioner kommer att utvecklas med en ännu farligare arsenal av skadliga åtgärder.

Om din dator blev infekterad med ServHelper Trojan, du bör ha lite erfarenhet av att ta bort skadlig kod. Ska du bli av med denna Trojan så snabbt som möjligt innan det kan ha en chans att sprida sig vidare och infektera andra datorer. Du bör ta bort Trojan och följ steg-för-steg-instruktioner som ges nedan.

Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i ServHelper Trojan.

Anti-virusprogramVersionUpptäckt
ESET-NOD328894Win32/Wajam.A
K7 AntiVirus9.179.12403Unwanted-Program ( 00454f261 )
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh
Dr.WebAdware.Searcher.2467
Malwarebytesv2013.10.29.10PUP.Optional.MalSign.Generic
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.bpjlwd
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.825
Malwarebytes1.75.0.1PUP.Optional.Wajam.A
McAfee5.600.0.1067Win32.Application.OptimizerPro.E
VIPRE Antivirus22702Wajam (fs)
VIPRE Antivirus22224MalSign.Generic
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo

ServHelper Trojan beteende

  • Gemensam ServHelper Trojan beteende och några andra emplaining som Textinfo relaterade till beteende
  • Stjäl eller använder dina konfidentiella Data
  • ServHelper Trojan ansluter till internet utan din tillåtelse
  • Fördelar sig genom pay-per-install eller levereras med programvara från tredje part.
  • ServHelper Trojan visar kommersiella annonser
  • Integreras i webbläsaren via webbläsartillägget ServHelper Trojan
Hämta Removal Toolta bort ServHelper Trojan

ServHelper Trojan verkställde Windows OS-versioner

  • Windows 1021% 
  • Windows 835% 
  • Windows 721% 
  • Windows Vista3% 
  • Windows XP20% 

ServHelper Trojan geografi

Eliminera [postnamn] från Windows

Ta bort [postnamn] från Windows XP:

  1. Klicka på börja öppna menyn.
  2. Välj Kontrollpanelen och gå till Lägg till eller ta bort program.win-xp-control-panel ServHelper Trojan
  3. Välja och ta bort det oönskade programmet.

Ta bort [postnamn] från din Windows 7 och Vista:

  1. Öppna Start -menyn och välj Control Panel.win7-control-panel ServHelper Trojan
  2. Flytta till Avinstallera ett program
  3. Högerklicka på den oönskade app och välj Avinstallera.

Radera [postnamn] från Windows 8 och 8.1:

  1. Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.win8-control-panel-search ServHelper Trojan
  2. Välj Avinstallera ett program och högerklicka på den oönskade app.
  3. Klicka på Avinstallera .

Ta bort [postnamn] från din webbläsare

[postnamn] Avlägsnas från Internet Explorer

  • Klicka på växel ikonen och välj Internet-alternativ.
  • Gå till fliken Avancerat och klicka på Återställ.reset-ie ServHelper Trojan
  • Ta bort personliga inställningar och klicka återställa igen.
  • Klicka på Stäng och välj OK.
  • Gå tillbaka till växel ikonen, Välj Hantera tilläggverktygsfält och tillägg, och ta bort oönskade extensions.ie-addons ServHelper Trojan
  • Gå till Sökleverantörer och välj en ny standard sökmotor

Radera [postnamn] från Mozilla Firefox

  • Ange "about:addons" i URL -fältet.firefox-extensions ServHelper Trojan
  • Gå till anknytningar och ta bort misstänkta webbläsartillägg
  • Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.firefox_reset ServHelper Trojan

Avsluta [postnamn] från Chrome

  • Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.extensions-chrome ServHelper Trojan
  • Avsluta opålitliga webbläsare extensions
  • Starta om Google Chrome.chrome-advanced ServHelper Trojan
  • Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).
Hämta Removal Toolta bort ServHelper Trojan