Nasıl ServHelper Trojan çıkarmak için

Bu ServHelper Trojan bilgisayar kullanıcılarının dünya çapında karşı kullanılan tehlikeli bir silah. Genellikle e-posta mesajları sızdırma yoluyla bulaşır. Makalemize toplanan örnekleri ve mevcut raporlara göre, ayrıca virüs kaldırmak için çalışırken yararlı olabilir davranışını genel bir bakış.

Bu ServHelper Trojan “FlawedGrace” adlı başka bir tehdit sunmak için çok karmaşık bir enfeksiyon yöntemi kullanan aktif bir arka kapı kötü amaçlı yazılım. Saldırı kampanyasının ilk örnekleri örnekleri onun belirtileri tespit edildiğinde geri 2018 Kasım ayında tespit edilmiştir.

virus-16

İlk enfeksiyon finans kurumları hedef alan küçük ölçekli e-posta Kimlik Avı kampanyası aracılığıyla yapıldı. İç iletişim, alıcılar tarafından açılan çok sayıda kişi servis bildirimleri ya da diğer mesajlar gibi davrandı. Onların tüm popüler biçimleri ekli belgeler: zengin metin belgeleri, elektronik tablolar, veritabanları ve sunumlar yer alacak. Kurbanları tarafından açılan olarak bir komut istemi yerleşik etkinleştirmek için onlara sorar. Bu ateşleme yol açacaktır.

Bir sonraki kampanyada farklı ekleri bir kombinasyonu ile perakende sektörü hedef, yani “.doc”, “.pub” veya “.wiz”.

2018 Aralık bu sefer çeşitli teknikleri a€” sadece sızdırma belgelerin bir karışımı kullanarak ServHelper Trojan başka bir sürüm gördüm, ama aynı zamanda “Adobe PDF Eklentileri” olarak tanımlanan zararlı sitelere linkler içeren mesajlar PDF. E-posta iletilerinin gövde içeriğini de virüs dosyaları doğrudan bağlantılar içerebilir. Kullanıcılar zorlamak düzgün görüntülemek için Adobe Reader uygulamasının yeni bir sürümünü indirmek gerekir inanarak dağıtılmış olan PDF dosyaları. Tehlikeli gerginlik bağlantıları gösterilir.

Diğer teslim yöntemleri kullanılmak için çok olası olduğu anlamına gelir:

  • Paket Yükleyicileri a€” suçlular olabilir girişimi için Kur dosyalarını popüler yazılım içeren virüs kodu. Bu resmi kaynaklarından meşru dosyaları almak ve gerekli talimatları da dahil olmak üzere yapılır. En çok tercih edilen sistem araçları, yaratıcılık Dairesi, verimlilik ve ofis uygulamaları ve vb.
  • Kötü amaçlı yazılım Siteleri * hackerlar oluşturmak, Kimlik Avı sitelerini taklit eden tanınmış indir portalları, ürün açılış sayfaları, arama motorları ve diğerleri. İmzalı veya sertifika yetkilileri, sahte veya çalıntı kimlik bilgilerini kullanarak satın ya da kendi kendine olabilir benzer sondaj alan adları ve güvenlik sertifikaları kullanılarak yapılır.
  • Tarayıcı Korsanları a€” Onlar temsil zararlı eklentiler yapılmış uyumlu olan en popüler web tarayıcısı. Bu örnekler çoğunlukla sahte kullanıcı yorumları ve geliştirici bilgilerle nakledilen ilgili depoları bulunabilir. Yayınlanan açıklamaları özellik eklemeleri ve performans iyileştirmeleri söz verir. Aynı zamanda önemli değişiklikler yüklü olarak, varsayılan ana sayfası, arama motoru ve Yeni Sekme sayfası olarak ayarlar tarayıcılar a€” değişiklik olabilir. Bu önceden tasarlanmış bir hacker-kontrollü sayfaya kurbanları yönlendirmek amacıyla yapılır.
  • Dosyaları da İnternet kullanıcılarına hem yasal hem de korsan içerik post aktif olarak nerede BitTorrent gibi ağlarda paylaşılabilir dosya Paylaşım Ağları*”.

Kampanyaları daha fazla ilerleme olarak yeni Kimlik Avı kampanyaları güncellenir kötü amaçlı yazılım kendisi olarak lanse edileceğini tahmin ediyoruz.

Bu ServHelper Trojan bilgisayarlar virüslü olarak geçerli yapılandırma dayalı bir davranış kalıbı başlatacak. Kaynak kodu kolayca tekrarlamalar arasında değiştirilebilir anlamına gelir Delphi ile yazılmış ana motoru kendisi.

Neredeyse hepsi olur anında bir yerel Truva istemci izin saldırganlar için kurulmuş bir güvenli bağlantı için kendi sunucuları. Bu ServHelper Trojan “tünel” sürümünü ters SSH tünel yapılandırır. Suçlular virüslü bilgisayarlara erişim için ortak bir Uzak Masaüstü yazılımı kullanmak mümkün olacak anlamına gelir. Bu kötü amaçlı yazılım motoru biter bitmez otomatik olarak sistem analiz ve tüm kullanıcı hesaplarını bulun. Herhangi bir saklanan web tarayıcı kimlik bilgileri gibi kaçırılacak. Bu ServHelper Trojan en popüler web tarayıcısı tüm önemli parametreleri erişim anlamına gelir:

  • Kurabiye
  • Ayarları
  • Yer imleri
  • Tarih
  • Saklı Site Tercihleri
  • Saklı Hesap Kimlik Bilgileri

Normal bir web sunucusu sayfa teslim olan HTTPS oturumları ve 80 için kullanılan 443 Truva kullanım noktası bilinen tüm türevlerini. Bir ağ yöneticisi açısından tehlikeye makinelerde bazı uzak masaüstü uygulamaları bu portlar üzerinden trafik yol olarak meşru trafik göndereceğiz.

Hacker en kontrollü sunucular üzerinde bulunan “vardır.yöneticiler için bir uyarı işareti olabilir pw” üst düzey etki alanları. Sonraki versiyonlarına da bazı üst düzey etki alanları özelliği “.ayrıca Namecoin bu cryptocurrency ile ilişkili olan bit” yazın.

POST bilgileri yer alan komuta ve kontrol sunucuları var olmuş bulunan sinyal kodlanmış parametreleri: “anahtar” hangi temsil eder kimliğinin tehdit olan kodlanmış her biri ayrı bir virüs sürümü. Bu “sysid” parametre göster benzersiz KİMLİĞİ olan oluşturulan her farklı ana. Yakalanan örnekler giriş değerleri: kampanya KİMLİĞİ, Windows sürümü, Sistem mimarisi, kullanıcı adı ve rasgele bir tamsayı olarak aşağıdaki verileri kullanan bir algoritma kullanın. Bir üçüncü parametre adı “Fatih” içeren yanıtlardan hacker denetleyicileri.

Canlı ağ analizi aşağıdaki cephanelik ortaya koymaktadır yakalanan tüm kullanılabilir komutların listesi:

  • nop A€” Bu etkinleştirin canlı tutma işlevi, sürekli prob ağ bağlantısı için tutmaya çalışıyor.
  • tun A€” Bu bir tünel bağlantısı tehlikeye bilgisayarlar kaynaklı RDP portunu (3389). Yakalanan örneklerin bazı komutları geniş bir yelpazede çalıştırmak için bulundu. Ayıklamak ve bırak ve ikili Sürümünü, yerel RDP Warapper Kütüphane Yazılımı yapılandırmak ve “Ghar4f5 önceden belirlenmiş bir şifre ile supportaccount” adlı ilişkilendirilmiş bir kullanıcı adı oluşturur. Bu kullanıcı “Uzak Masaüstü Kullanıcıları” ve “Yöneticiler” gruplar eklenecektir. Sonraki sürümlerinde yerleşik taraf uygulama-Windows uzak masaüstü uygulamasında bu üçüncü yerini alacak.
  • slp A€” Bu set bir hacker tanımlı uyku zaman aşımı.
  • fox A€” Bu talimat yerel örneğine kopya Mozilla Firefox kullanıcı profili.
  • chrome A€” Bu aynı için Google Chrome.
  • killtun A€” Bu öldürür etkin bir SSH tünel süreci.
  • tunlist A€” Bu komut listesi tüm aktif SSH tünelleri.
  • killalltuns a€” Öldürür tüm SSH tünel kullanır.
  • kabuk A€” Bu idam verilen bir kabuk komut göndermek ve cevap için aktif C&C sunucusu.
  • yük A€” Bu komutu indirin ve çalıştırın bir yürütülebilir belirli bir URl. Çıkış hacker-kontrollü sunucusuna bildirdi.
  • çorap A€” Bu yaratacak bir ters SSH tünel olduğu için çalıştırmak arasında C&C sunucu ve diğer müşteriler.
  • selfkill A€” Bu Kaldır aktif kötü amaçlı yazılım bulaşmış bilgisayarlar.
  • loaddll A€” Bu çok benzer bir “yük” ama DLL dosyaları.
  • bk A€” Bu set ters SSH tünel için kullanabileceğiniz bir C&C belirtilen uzak ana bilgisayar yerine kodlanmış sunucu.
  • hijack A€” Bu komutu kaçırmak verilen bir kullanıcı hesabı ile bilinen kişi. Bu Windows Kayıt ve Zamanlanmış görevler hizmeti ile etkileşim önceden yapılmış bir toplu iş dosyası oluşturarak yapılır.
  • forcekill A€” Bu öldürmek tüm süreçleri kullanarak Windows “taskkill” komutunu.
  • sethijack A€” Bu kontrol yerleşik bir “uyarı” mekanizması. Bu kullanıcı giriş olayları izleyen ayrı bir program tarafından yapılır. Meşru bir kullanıcı bir inşa açtığında-davranış kalıbı otomatik olarak başlayacaktır: “chrome” ve “tilki” komutları çalıştırmak olacaktır profilleri “supportaccount” kullanıcı kopyalanması ve korsan kontrolörleri uyarı olacak.
  • chromeport A€” Bu uygular aynı işlevi olarak “chrome”. Bu da “FlawedGrace” kötü amaçlı yazılım teslimatı yol açacaktır.

En ServHelper Trojan amacı teslim FlawedGrace SIÇAN. Bir damlalık olarak çalışan Truva teslim bir yük. Bir inşa başlattı olduğu gibi-davranış kalıbı başlatılacaktır. Oluşturmak, şifrelemek ve kontrollü sunucu hacker hakkında bilgiler içeren bir yapılandırma dosyası depolarlar. FlawedGrace SIÇAN iletişimi için ayrı bir ikili protokolünü kullanır ve bilgisayarlar tarafından tanımlanan iletişim için farklı bir bağlantı noktası kullanın. Varsayılan 443.

Ağ analizi tanımlanan komutların listesi aşağıdaki gibidir:

Arkasında tehdit aktör yaşanan ServHelper Trojan ve ilişkili FlawedGrace bu FARE birlikte saldırı kampanyaları en birlikte olduğu gerçeğini gösterir. Tüm teslimat şimdiye kadar hedef şirketler ve bireysel kullanıcılar kampanyaları. Gelecek sürümlerinde kötü niyetli eylemleri daha tehlikeli bir cephanelik sahip gelişmiş olacağını tahmin ediyoruz.

Eğer sizin bilgisayar sistemi ile enfekte olan ServHelper Trojan, sizin gerektiğini olması biraz tecrübe kaldırma kötü amaçlı yazılım. Daha fazla ve enfekte diğer bilgisayarlara yaymak için bir şans var önce bu Trojan mümkün olduğunca çabuk kurtulmak gerekir. Trojan kaldırmak ve adım talimatları aşağıda kılavuz adım takip edin.

Uyarı, birden fazla anti-virüs tarayıcıları ServHelper Trojan içinde olası kötü amaçlı yazılım tespit etti.

Anti-virüs yazılımıSürümAlgılama
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo
ESET-NOD328894Win32/Wajam.A
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.825
Malwarebytes1.75.0.1PUP.Optional.Wajam.A
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh
McAfee-GW-Edition2013Win32.Application.OptimizerPro.E
Dr.WebAdware.Searcher.2467
VIPRE Antivirus22224MalSign.Generic
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)
McAfee5.600.0.1067Win32.Application.OptimizerPro.E
Malwarebytesv2013.10.29.10PUP.Optional.MalSign.Generic
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.bpjlwd
K7 AntiVirus9.179.12403Unwanted-Program ( 00454f261 )
VIPRE Antivirus22702Wajam (fs)

ServHelper Trojan davranışı

  • Kullanıcının ana sayfasını değiştirir
  • Internet bağlantısı yavaşlatır
  • Top çalma ya da senin mahrem veri kullanır
  • ServHelper Trojan davranış ve davranışları ile ilgili bazı diğer metin emplaining som bilgi
  • Göstermek taklidini yapmak güvenlik dikkatli, açılır pencereler ve reklamlar.
  • Tarayıcınızın virüslü sayfalarına yönlendirin.
  • Masaüstü ve tarayıcı ayarlarını değiştirir.
  • ServHelper Trojan ticari reklamlar gösterir.
  • ServHelper Trojan tarayıcı uzantısı üzerinden web tarayıcısı içine entegre
  • Kendisi ödeme başına yükleme dağıtır veya üçüncü taraf yazılım ile birlikte verilmektedir.
Download kaldırma aracıkaldırmak için ServHelper Trojan

ServHelper Trojan Windows işletim sistemi sürümleri etkilenir.

  • Windows 1020% 
  • Windows 832% 
  • Windows 723% 
  • Windows Vista6% 
  • Windows XP19% 

ServHelper Trojan Coğrafya

ServHelper Trojan--dan pencere eşiği ortadan kaldırmak.

ServHelper Trojan Windows XP'den silin:

  1. Menüyü açmak için Başlat ' ı tıklatın.
  2. Denetim Masası'nı seçin ve Ekle / Kaldırgidin.win-xp-control-panel ServHelper Trojan
  3. Seçin ve Kaldır istenmeyen programı.

Kaldır ServHelper Trojan senin Windows 7 ve Vista:

  1. Başlat menüsünü açın ve Denetim Masası'nıseçin.win7-control-panel ServHelper Trojan
  2. Program Kaldır için hareket
  3. İstenmeyen app ve çekme kaldırmaüzerinde sağ tıklatın .

Erase ServHelper Trojan Windows üzerinden 8 ve 8.1:

  1. Sağ ve sol alt köşesinde seçin Denetim Masasıüzerinde.win8-control-panel-search ServHelper Trojan
  2. Program Kaldır ve istenmeyen app üzerinde sağ tıklatın seçin.
  3. Kaldır seçeneğini tıklatın.

ServHelper Trojan Your tarayıcılardan gelen silme

ServHelper Trojan Internet Explorer kaldırılması

  • Dişli simgesini tıklayın ve Internet Seçenekleri'niseçin.
  • Gelişmiş sekmesine gidin ve Sıfırla' yı tıklatın.reset-ie ServHelper Trojan
  • Kişisel ayarları sil kontrol edin ve tekrar Sıfırla ' yı tıklatın.
  • Kapat ' ı tıklatın ve Tamam' ý seçin.
  • Geri gitmek için dişli simgesini, Eklentileri Yönet → pick araç çubukları ve uzantılarıve uzantıları istenmeyen Sil.ie-addons ServHelper Trojan
  • Arama sağlayıcıları için gidin ve yeni bir varsayılan arama motoru seçin

ServHelper Trojan Mozilla Firefox silmek

  • "about:addons" URL alanına girin.firefox-extensions ServHelper Trojan
  • Uzantıları git ve şüpheli tarayıcı uzantılarını silmek
  • Menüsünütıklatın, soru işareti ve Firefox yardım' ı açın. Yenile Firefox düğmesi üzerinde'yi tıklatın ve onaylamak için Firefox Yenile seçin.firefox_reset ServHelper Trojan

Chrome ServHelper Trojan sonlandırma

  • "chrome://extensionsiçinde" URL alanına yazın ve Enter' a dokunun.extensions-chrome ServHelper Trojan
  • Güvenilir olmayan tarayıcı uzantıları sonlandırmak
  • Google Chrome yeniden başlatın .chrome-advanced ServHelper Trojan
  • Chrome menüsünü açın, ayarlar → gösteri Gelişmiş Ayarlar'ı tıklatın, sıfırlama tarayıcı ayarları'nı seçin ve (isteğe bağlı) Sıfırla'yı tıklatın.
Download kaldırma aracıkaldırmak için ServHelper Trojan