Ako odstrániť ServHelper Trojan

Na ServHelper Trojan je nebezpečná zbraň použiť proti užívateľov počítačov po celom svete. Napáda hlavne cez phishing e-mailových správ. Náš článok poskytuje prehľad o jeho správania podľa zozbieraných vzoriek a dostupné správy, tiež to môže byť užitočné pri pokuse odstrániť tento vírus.

Na ServHelper Trojan je aktívny backdoor malware, ktorý používa veľmi zložité infekcie metóda dodať inú hrozbu s názvom “FlawedGrace”. Prvé prípady útoku kampane boli identifikované späť v novembri roku 2018, kedy príznaky jej vzoriek, neboli zistené.

virus-16

Prvotné infekcie bolo vykonané cez malé-veľké e-mail phishing kampaň, ktorá sa zamerala na finančné inštitúcie. Ráčili ako internú komunikáciu, servisné hlásenia správy alebo správy, ktoré boli veľmi pravdepodobné, že bude otvorený prijímateľom. Ich súčasťou budú pripojené dokumenty všetky populárne formáty: rich text dokumentov, tabuliek, databáz a prezentácií. Hneď, ako sú otvorené od obete a objaví sa výzva s otázkou im umožňujú zabudované v skripty. Bude to viesť k zaťaženie dodanie.

Ďalšia kampaň zacielená maloobchode s kombináciou rôznych pripútaností, a to “.doc”, “.pub”, alebo “.wiz”.

Decembra 2018 videl iný uvoľnenie ServHelper Trojan tento čas pomocou kombinácie rôznych techník — nie len na neoprávnené získavanie dokumentov, ale aj PDF správy, obsahujúce odkazy na škodlivý webové stránky opisujú ako “Adobe PDF plugins”. Telo obsah e-mailové správy môžu obsahovať aj priame odkazy na súbory virus. PDF súbory, ktoré sú distribuované prinútiť používateľov počítačov, aby verili, že je potrebné stiahnuť novú verziu aplikácie Adobe Reader, aby sa správne zobraziť. Oni sú zobrazené odkazy na nebezpečné kmene.

To znamená, že to je veľmi možné, pre ostatné vyučovacie metódy sa používajú aj:

  • Zväzok Inštalatérov — zločinci sa môže pokúsiť vytvoriť inštalačné súbory z populárneho softvéru, ktoré obsahujú vírus kód. Toto je robené tým, že legitímne súbory z ich oficiálnych zdrojov vrátane potrebné pokyny. Populárne možnosti zahŕňajú systémové nástroje, tvorivosť suites, produktivity a kancelárske aplikácie a pod.
  • Malware Stránky — hackeri môžu vytvárať lokality neoprávneného získavania údajov, ktoré napodobňujú známe stiahnuť portály, produkt vstupné stránky, vyhľadávače a iné. Sú vyrobené pomocou podobne znejúce názvy domén a bezpečnostné certifikáty, ktoré môžu byť buď self-signed alebo zakúpené od certifikát orgány pomocou falošné alebo odcudzenia poverenia.
  • Prehliadač Únoscov — predstavujú nebezpečný pluginy, ktoré sú vyrobené kompatibilný s najpoužívanejších webových prehliadačov. V týchto prípadoch môže väčšinou nájsť na príslušných archívoch vyvesenia s falošné recenzie a vývojárske informácie. Publikované popisy bude sľub funkciu prírastky a optimalizácia výkonu. Zároveň, akonáhle sú nainštalované dôležité zmeny, môže dôjsť k prehliadačov — zmena nastavení, napríklad predvoleného domovskej stránky, vyhľadávače a nové karty stránke. Je to v poradí na presmerovanie obete na predesigned hacker-riadený stránke.
  • Zdieľanie súborov Siete — súbory môžu tiež byť zdieľané na sieťach ako je BitTorrent kde užívateľov Internetu aktívne post oboch legitímne a pirát obsahu.

Ako kampaní postupovať ďalej predpokladáme, že nové phishing kampane bude spustený ako malware sama aktualizuje.

Hneď ako ServHelper Trojan napadol hostitelia začne správanie vzor založené na aktuálnej konfigurácii. Hlavný motor sám o sebe je napísaný v Delphi, čo znamená, že zdrojový kód môže byť ľahko upravená medzi iterácie.

Takmer všetci z nich budú okamžite nastaviť miestny Trojan klienta , umožňujúce útočníci ak chcete nastaviť zabezpečené pripojenie na svoje vlastné servery. “Tunela” verzia ServHelper Trojan bude konfigurovať reverzné SSH tunela. To znamená, že zločinci budú môcť využívať spoločné Remote Desktop softvér na prístup k infikovaných počítačov. Akonáhle je to hotovo malware motor, automaticky analyzovať systém a vyhľadajte všetky používateľské kontá. Budú unesené ako aj všetky uložené webový prehliadač poverenia. To znamená, že ServHelper Trojan prístup všetky dôležité parametre z najpoužívanejších webových prehliadačov:

  • Súbory cookie
  • Nastavenia
  • Záložky
  • História
  • Uložené Nastavenia Stránok
  • Uložené Poverenia Konta

Všetky známe varianty Trojan používa port 443, ktoré sa používajú na HTTPS relácií a 80 ktoré je pre normálne web server stránke dodania. Od správcu siete pohľadu ohrozená strojov poslať legitímne prevádzky, ako niektoré vzdialenej pracovnej plochy aplikácie môžete presmerovať návštevnosť cez tieto porty.

Väčšina hackerov-riadený servery sú umiestnené na “.pw” top-level domén, ktoré môžu byť varovným signálom pre správcov. Niektoré z novších verzií aj funkciu niektoré domény najvyššej úrovne “.bit” typu, ktoré sú tiež spojené s Namecoin cryptocurrency.

POST informácie obsiahnuté v velenia a riadenia servery boli nájdené na signál kódovaný parametre: “kľúč” , ktorý predstavuje ID hrozba, ktorá je napevno v každom osobitnom vírus verziu. Na “sysid” parameter sa zobrazí jedinečné ID, ktoré je vytvorené pre každý iný hosť. Zachytené vzorky použiť algoritmus, ktorý používa nasledujúce údaje ako vstupné hodnoty: kampaň ID, Windows verziu, architektúry Systému, meno a náhodné celé číslo. Tretí parameter sa nazýva “resp” obsahuje odpovede od hackera radiče.

Zoznam všetkých dostupných príkazov, ktoré boli zachytené z live siete analýzy ukazujú nasledujúce arsenal:

  • nop — umožní keep-alive funkciu, ktorá bude neustále sonda na pripojenie na sieť, aby sa udržať v prevádzke.
  • tun — Toto nastaví do tunela spojenie z ohrozená hostitelia pochádzajúce z PRV port (port 3389). Niektoré zachytené vzorky boli nájdené na spustenie rozsiahle množstvo príkazov. Budú extrahovať a drop a OpenSSH binárne, konfigurovať miestny RDP Warapper Knižnica Softvér a vytvoriť spojené užívateľské meno názvom “supportaccount” s prednastavené heslo “Ghar4f5″. Tento používateľ bude pridaný do “Používatelia Vzdialenej pracovnej Plochy” a “Správcovia” skupiny. Novšie verzie nahradí tejto tretej strany aplikácie pomocou zabudovaného Windows remote desktop aplikácia.
  • slp — Toto nastaví hacker-definované spánku časový limit.
  • fox — Toto poučí miestne stupňa skopírujte Mozilla Firefox profilu používateľa.
  • chrome — to bude robiť To isté pre Google Chrome.
  • killtun — To bude zabiť aktívne SSH tunel procesu.
  • tunlist — Tento príkaz zobrazí zoznam všetkých aktívnych SSH tunel.
  • killalltuns — Zabíja všetky SSH tunel procesov.
  • shell — Toto vykoná daný príkaz shell-u a odoslať odpoveď active C&C server.
  • zaťaženie — Tento príkaz sa stiahnuť a spustiť spustiteľný z konkrétnych adries URl. Výstup bude oznamovať hacker-riadený server.
  • ponožky — takto sa vytvorí zadnej strane SSH tunela, ktorý je možné spustiť medzi C&C server a iných klientov.
  • selfkill — takto sa odstráni aktívne malware z infikovaných počítačov.
  • loaddll — je To veľmi podobné, “načítať”, ale pre DLL súbory.
  • bk — Toto nastaví zadnej strane SSH tunel na použitie C&C špecifikované vzdialeného hostiteľa namiesto napevno server.
  • uniesť — Tento príkaz sa uniesť dané používateľské konto s známou osobou. Toto je robené tým, že vytvorí predvolené dávkový súbor, ktorý bude komunikovať s Windows databázy Registry a Plánované úlohy služby.
  • forcekill — To bude zabiť všetkých procesov s využitím Windows “príkaz taskkill” príkaz.
  • sethijack — Toto bude ovládať zabudovaný “upozornenie” mechanizmus. Toto je robené tým, samostatný program, ktorý monitoruje prihlasovacie udalosti. Keď oprávnený užívateľ prihlási vstavaný správanie vzor automaticky spustí: “chrome” a “fox” príkazy budú bežať, profily budú skopírované do “supportaccount” užívateľ a upozorniť hacker radiče.
  • chromeport — Toto plní rovnaké funkcie ako “chrome”. To bude tiež viesť k “FlawedGrace” malware dodanie.

Väčšina ServHelper Trojan cieľom je dodať FlawedGrace POTKAN. To je užitočné zaťaženie, ktoré je doručený prostredníctvom Trojan, ktorý pôsobí ako kvapkadla. Hneď, ako je to začala postavený-v správaní, vzor, spustí sa. To bude vytvárať, kódovať a uložiť konfiguračný súbor, ktorý obsahuje informácie o hacker-riadený server. Na FlawedGrace POTKAN používa samostatnú binárny protokol pre komunikáciu a je možné ich použiť iný port pre komunikáciu, ako sú definované tým, že jej ovládače. Predvolené jeden je 443.

Zoznam príkazov, ktoré boli identifikované zo sieťovej analýzy je nasledovné:

Skutočnosť, že ServHelper Trojan a súvisiace FlawedGrace POTKAN sú zoskupené spoločne vo väčšine útok kampaní ukazuje, že hrozba herec za ním je skúsený. Všetky dodávky kampane tak ďaleko cieľovej spoločnosti, a nie jednotlivých používateľov. Predpokladáme, že budúce verzie budú vyvinuté s ešte viac nebezpečný arzenál škodlivý.

Ak je v počítači systém dostal nakazený s ServHelper Trojan, mali by ste mať trochu skúseností v odstraňovaní škodlivého softvéru. Mali by ste sa zbaviť tohto Trojan, ako rýchlo, ako je to možné skôr, ako to môže mať šancu šíriť ďalej a infikovať ďalšie počítače. Tie by mali odstrániť Trojan a postupujte podľa pokynov krok-za-krokom návod návodu nižšie.

Upozornenie, multiple Anti-Virus Skenery zistili možné malware v ServHelper Trojan.

Anti-virus softvérVerziaDetekcia
VIPRE Antivirus22224MalSign.Generic
ESET-NOD328894Win32/Wajam.A
McAfee-GW-Edition2013Win32.Application.OptimizerPro.E
McAfee5.600.0.1067Win32.Application.OptimizerPro.E
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh
K7 AntiVirus9.179.12403Unwanted-Program ( 00454f261 )
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)
VIPRE Antivirus22702Wajam (fs)
Dr.WebAdware.Searcher.2467

ServHelper Trojan správanie

  • Zobrazí falošný bezpečnostné upozornenia a pop-up reklamy.
  • Zmeny domovskej stránky používateľa
  • Presmerovanie prehliadača na infikované stránky.
  • Inštaluje bez povolenia
  • Spomaľuje pripojenie k internetu
  • ServHelper Trojan deaktivuje nainštalovaný bezpečnostný softvér.
  • ServHelper Trojan ukazuje komerčné inzeráty
  • ServHelper Trojan sa pripája k internetu bez vášho súhlasu
  • Ukradne alebo používa vaše dôverné údaje
Stiahnuť nástroj pre odstránenieodstrániť ServHelper Trojan

ServHelper Trojan uskutočnené verzie Windows OS

  • Windows 1031% 
  • Windows 831% 
  • Windows 726% 
  • Windows Vista6% 
  • Windows XP6% 

ServHelper Trojan geografia

Odstránenie ServHelper Trojan z Windows

Odstrániť ServHelper Trojan od Windows XP:

  1. Kliknite na Štart otvorte ponuku.
  2. Vyberte položku Ovládací Panel a prejsť na Pridať alebo odstrániť programy.win-xp-control-panel ServHelper Trojan
  3. Vybrať a odstrániť nežiaduce program.

Odstrániť ServHelper Trojan z vášho Windows 7 a Vista:

  1. Otvorte ponuku Štart a vyberte Ovládací Panel.win7-control-panel ServHelper Trojan
  2. Prejsť na Odinštalovanie programu
  3. Kliknite pravým tlačidlom myši na nechcené aplikácie a vyberte odinštalovať.

Vymazať ServHelper Trojan z Windows 8 a 8.1:

  1. Pravým tlačidlom myši kliknite na ľavom dolnom rohu a vyberte Ovládací Panel.win8-control-panel-search ServHelper Trojan
  2. Vyberte si program odinštalovať a kliknite pravým tlačidlom myši na nechcené aplikácie.
  3. Kliknite na tlačidlo odinštalovať .

Odstrániť ServHelper Trojan z vášho prehliadača

ServHelper Trojan Odstránenie z Internet Explorer

  • Kliknite na ikonu ozubeného kolieska a vyberte položku Možnosti siete Internet.
  • Prejdite na kartu Rozšírené a kliknite na tlačidlo obnoviť.reset-ie ServHelper Trojan
  • Skontrolujte, Odstrániť osobné nastavenia a znova kliknite na tlačidlo obnoviť .
  • Kliknite na tlačidlo Zavrieť a vyberte OK.
  • Prejsť späť na ikonu ozubeného kolesa, vyberte Spravovať doplnkyPanely s nástrojmi a rozšíreniaa odstrániť nechcené rozšírenia.ie-addons ServHelper Trojan
  • Prejsť na Poskytovateľov vyhľadávania a vyberte nový predvolený vyhľadávač

Vymazať ServHelper Trojan od Mozilla Firefox

  • Do poľa URL zadajte "about:addons".firefox-extensions ServHelper Trojan
  • Ideme do rozšírenia a odstrániť podozrivý rozšírenia
  • Kliknite na príkaz ponuky, kliknite na otáznik a otvorte Pomocníka Firefox. Kliknite na aktualizovať tlačidlo Firefox a vyberte obnoviť Firefox potvrdiť.firefox_reset ServHelper Trojan

Ukončiť ServHelper Trojan od Chrome

  • Do poľa URL zadajte v "chrome://extensions" a kliknite na tlačidlo Enter.extensions-chrome ServHelper Trojan
  • Ukončiť nespoľahlivé prehliadač rozšírenia
  • Reštartujte Google Chrome.chrome-advanced ServHelper Trojan
  • Chrome ponuke kliknite na položku Nastavenia → Zobraziť rozšírené nastavenia, vyberte Reset nastavenia prehliadača, a kliknite na tlačidlo Reset (voliteľné).
Stiahnuť nástroj pre odstránenieodstrániť ServHelper Trojan