Den ServHelper Trojan er et farligt våben brugt mod computerbrugere over hele verden. Det inficerer hovedsageligt via phishing e-mails. Vores artikel giver et overblik over sin adfærd i overensstemmelse med de indsamlede prøver og tilgængelige rapporter, også det kan være nyttigt i forsøget på at fjerne virus.
Trussel Summary
| Navn | ServHelper Trojan |
| Type | Trojan |
| Kort beskrivelse | Den ServHelper Trojan er en computervirus, der er designet til at stille infiltrere computersystemer. |
| Symptomer | Ofrene kan ikke opleve nogen synlige symptomer på infektion. |
| Distributionsmetode | Software Sårbarheder, Freeware installationer, Bundtede pakker, Scripts og andre. |
| Værktøj Detection |
Se, om dit system er blevet påvirket af malware
Hent
Værktøj til fjernelse af malware
|
| Brugererfaring | Tilmeld dig vores forum at diskutere ServHelper Trojan. |
ServHelper Trojan - distributionsmetoder
Den ServHelper Trojan er en aktiv bagdør malware som bruger en meget kompleks infektion metode til at levere en anden trussel kaldet “FlawedGrace”. De første forekomster af angreb kampagnen blev identificeret tilbage i november 2018 blev afsløret tegn på sine prøver.
Den initiale infektion blev udført via en lille størrelse e-mail phishing-kampagne der målrettet finansielle institutioner. De stillede som den interne kommunikation, service-meddelelser eller andre meddelelser, der var meget sandsynligt, at blive åbnet af modtagerne. Deres vil omfatte vedhæftede dokumenter i alle populære formater: rige tekstdokumenter, regneark, databaser og præsentationer. Så snart de er åbnet af ofrene en prompt vises beder dem om at gøre det muligt for den indbyggede scripts. Dette vil føre til nyttelasten levering.
Den næste kampagne målrettet detailhandlen med en kombination af forskellige vedhæftede filer, nemlig ”.doc”, ".pub", eller ”.wiz”.
December 2018 så en anden frigivelse af ServHelper trojanske denne gang ved hjælp af en blanding af forskellige teknikker - ikke kun de phishing-dokumenter, men også PDF-meddelelser, som indeholder links til ondsindede websteder, der er beskrevet som “Adobe PDF-plugins”. Kroppen indholdet af e-mails kan også indeholde direkte links til virus-filer. PDF-filerne, der bliver distribueret tvinge brugerne til at tro, at de har brug for at hente en ny version af Adobe Reader for at kunne se det korrekt. De er vist links til de farlige stammer.
Det betyder, at det er meget muligt for andre leveringsmetoder, der skal anvendes, såvel:
- Bundle Installers - De kriminelle kan forsøge at skabe setup filer af populære software, der indeholder virus kode. Dette gøres ved at tage de legitime filer fra deres officielle kilder og med de nødvendige instrukser. Populære valg omfatter systemværktøjer, kreativitet suiter, produktivitet og kontor apps og etc.
- Malware steder - Hackerne kan oprette phishing-websteder, der efterligner kendte download-portaler, produkt destinationssider, søgemaskiner og andre. De er lavet ved hjælp af lignende klingende domænenavne og sikkerhedscertifikater, der kan være enten selvsignerede eller købt fra certifikatmyndigheder hjælp falsk eller stjålet legitimationsoplysninger.
- Browser Hijackers - De repræsenterer ondsindede plugins, der er lavet kompatibel med de mest populære webbrowsere. Disse tilfælde kan det meste findes på de relevante repositories blive udsendt med falske brugeranmeldelser og udvikleroplysninger. De bogførte beskrivelser vil løfte har tilføjelser og ydeevne optimeringer. Samtidig, så snart de er installeret vigtige ændringer kan forekomme på de browsere - ændring af indstillinger som standard startside, søgemaskine og nye faner side. Dette gøres med henblik på at omdirigere ofrene til en foruddefineret hacker-kontrolleret side.
- Fildeling netværk - Filerne kan også deles på netværk som BitTorrent, hvor internetbrugere aktivt skrive både legitimt og pirat indhold.
Som kampagnerne komme videre forventer vi, at nye phishing kampagner vil blive lanceret som malwaren selv er opdateret.
ServHelper Trojan - Detaljeret beskrivelse
Så snart ServHelper trojanske har inficeret værterne det vil lancere en adfærdsmønster baseret på den aktuelle konfiguration. Den vigtigste motor i sig selv er skrevet i Delphi, hvilket betyder, at kildekoden nemt kan ændres mellem iterationer.
Næsten alle af dem vil øjeblikkeligt oprette en lokal Trojan klient gør det muligt for angribere at oprette en sikker forbindelse til deres egne servere. Den “tunnel” version af ServHelper Trojan vil konfigurere en omvendt SSH tunnel. Det betyder, at de kriminelle vil være i stand til at bruge den sunde Remote Desktop software for at få adgang til de inficerede computere. Så snart dette er gjort malware motor vil automatisk analysere systemet og find alle brugerkonti. De vil blive kapret, samt eventuelle lagrede web browser legitimationsoplysninger. Det betyder, at ServHelper trojanske kan få adgang til alle vigtige parametre for de mest populære webbrowsere:
- Småkager
- Indstillinger
- Bogmærker
- Historie
- Lagrede Sidepræferencer
- Lagrede konto legitimationsoplysninger
Alle kendte varianter af den trojanske brug porten 443 som anvendes til HTTPS-sessioner og 80 der er for normal webserver side levering. Fra et netværksadministrator perspektiv de inficerede maskiner vil sende legitim trafik som nogle remote desktop applikationer kan route trafikken via disse porte.
De fleste af de hacker-kontrollerede servere er placeret på “.pw” topdomæner, som kan være et advarselsskilt til administratorer. Nogle af de nyere versioner har også nogle topdomæner i “.bit” type, der også er forbundet med Namecoin cryptocurrency.
POST oplysningerne i kommando og kontrol-servere har vist sig at signalere kodede parametre: “nøgle” som repræsenterer id af den trussel, som er indkodet i hver enkelt virus-version. Den “sysid” parameter vil vise det unikke id, som genereres for hver anden vært. De optagne prøver anvender en algoritme, som anvender følgende data som indgangsværdier: kampagne-id, Windows-version, System arkitektur, brugernavn og et tilfældigt heltal. En tredje parameter kaldet “hhv” indeholder svar fra hacker controllere.
En liste over alle tilgængelige kommandoer, der er blevet erobret fra den levende netværk analyse afslører følgende arsenal:
- nop - Det vil gøre det muligt for en keep-alive funktionalitet, som hele tiden vil undersøge netværksforbindelsen for at holde det kørende.
- gøre - Dette vil oprette en tunnel-forbindelse fra de kompromitterede værter oprindelse fra RDP porten (3389). Nogle af de tilfangetagne prøver har vist sig at køre en omfattende vifte af kommandoer. De vil udtrække og slip og OpenSSH binær, konfigurere den lokale RDP Warapper Bibliotek Software og skabe en tilhørende brugernavn kaldet “supportaccount” med en forudindstillet adgangskode “Ghar4f5”. Denne bruger vil blive tilføjet til ”Remote Desktop Users” og ”Administratorer” grupper. Senere versioner vil erstatte denne tredjeparts app med den indbyggede Windows remote desktop applikation.
- slp - Dette vil sætte en hacker-defineret søvn timeout.
- Ræv - Dette vil instruere den lokale instans at kopiere Mozilla Firefox brugerprofil.
- krom - Det vil gøre det samme for Google Chrome.
- killtun - Dette vil dræbe en aktiv SSH tunnel proces.
- tunlist - Denne kommando vil liste alle aktive SSH tunneller.
- killalltuns - Dræber alle SSH tunnel processer.
- skal - Dette vil udføre en given shell kommando og sender svaret til den aktive C&C server.
- belastning - Denne kommando vil downloade og køre en eksekverbar fra en bestemt URL. Udgangen vil blive rapporteret til hacker-kontrollerede server.
- sokker - Dette vil skabe en omvendt SSH tunnel, som skal køre mellem C&C server og andre klienter.
- selfkill - Dette vil fjerne den aktive malware fra de inficerede maskiner.
- loaddll - Dette er meget lig “belastning” men for DLL-filer.
- bk - Dette vil sætte den omvendte SSH tunnel at bruge en C&C angivne eksterne vært i stedet for den hardcodede server.
- kapre - Denne kommando vil kapre en given bruger konto med en kendt person,. Dette gøres ved at skabe en forudindstillet batchfil, vil interagere med Windows-registreringsdatabasen og planlagte opgaver tjeneste.
- force dræbe - Dette vil dræbe alle processer ved hjælp af kommandoen på Windows ”taskkill”.
- sethijack - Dette vil styre en indbygget “alert” mekanisme. Dette gøres ved et særskilt program, som overvåger brugerens login begivenheder. Når en legitim bruger logger en indbygget adfærdsmønster starter automatisk: den “krom” og “Ræv” kommandoer vil blive kørt, profilerne vil blive kopieret til den “supportaccount” bruger og alarmere hacker controllere.
- chromeport - Dette implementerer den samme funktionalitet som “krom”. Dette vil også føre til “FlawedGrace” malware levering.
De fleste af de ServHelper Trojan sigter mod at levere den FlawedGrace RAT. Det er en nyttelast, der er leveret gennem den trojanske, der fungerer som en pipette. Så snart den er lanceret en indbygget adfærdsmønster vil blive startet. Det vil skabe, kryptere og gemme en konfigurationsfil, der indeholder oplysninger om hacker-kontrollerede server. Den FlawedGrace RAT benytter en særskilt binær protokol for kommunikation og kan bruge en anden port til kommunikation bestemt ved sine controllere. Standard ene er 443.
En liste over de kommandoer, der er blevet identificeret fra et netværk analyse er følgende:
target_remove, target_update, target_reboot, target_module_load, target_module_load_external, target_module_unload, target_download, target_upload, target_rdp, target_passwords, target_servers, target_script, destroy_os og desktop_stat
Den omstændighed, at ServHelper Trojan og den tilhørende FlawedGrace RAT er bundtet sammen i de fleste angreb kampagner viser, at truslen skuespiller bag det opleves. Alle leveringstider kampagner hidtil målrettet virksomheder og ikke individuelle brugere. Vi forventer, at fremtidige versioner vil blive udviklet, der har en endnu farligere arsenal af ondsindede handlinger.
Fjern NtCrypt Crypter Helt
At fjerne ServHelper Trojan manuelt fra din computer, Følg trin-for-trin fjernelse tutorial skrevet ned nedenfor. I tilfældet denne manuel fjernelse ikke slippe af med minearbejder malware helt, du skal søge efter og fjerne eventuelle rester emner med en avanceret anti-malware værktøj. Sådan software kan holde din computer sikker i fremtiden.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig:
Preparation before removing ServHelper Trojan.
, Før den egentlige fjernelse proces, Vi anbefaler, at du gør følgende forberedelse trin.
- Sørg for at have disse instruktioner altid åben og foran dine øjne.
- Gør en sikkerhedskopi af alle dine filer, selv om de kunne blive beskadiget. Du bør sikkerhedskopiere dine data med en sky backup-løsning og forsikre dine filer mod enhver form for tab, selv fra de mest alvorlige trusler.
- Vær tålmodig, da det kan tage et stykke tid.
- Scan for malware
- Rette registre
- Fjern virusfiler
Trin 1: Scan efter ServHelper Trojan med SpyHunter Anti-Malware Tool
Trin 2: Rens eventuelle registre, oprettet af ServHelper Trojan på din computer.
De normalt målrettede registre af Windows-maskiner er følgende:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
Du kan få adgang til dem ved at åbne Windows Registry Editor og slette eventuelle værdier, oprettet af ServHelper Trojan der. Dette kan ske ved at følge trinene nedenunder:
Tip: For at finde en virus-skabt værdi, du kan højreklikke på det og klikke "Modificere" at se, hvilken fil det er indstillet til at køre. Hvis dette er virus fil placering, fjerne værdien.Trin 3: Find virus files created by ServHelper Trojan on your PC.
1.For Windows 8, 8.1 og 10.
For Nyere Windows-operativsystemer
1: På dit tastatur tryk + R og skrive explorer.exe i Løbe tekstboks og derefter klikke på Ok knap.
2: Klik på din pc fra hurtig adgang bar. Dette er normalt et ikon med en skærm og dets navn er enten "Min computer", "Min PC" eller "Denne PC" eller hvad du har navngivet det.
3: Naviger til søgefeltet øverst til højre på din pc's skærm og type "fileextension:" og hvorefter skrive filtypen. Hvis du er på udkig efter ondsindede eksekverbare, et eksempel kan være "fileextension:exe". Efter at gøre det, efterlade et mellemrum og skriv filnavnet du mener malware har skabt. Her er, hvordan det kan se ud, hvis der er fundet din fil:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.I Windows XP, Vista, og 7.
For ældre Windows-operativsystemer
I ældre Windows OS bør den konventionelle tilgang være den effektive:
1: Klik på Start Menu ikon (normalt på din nederste venstre) og vælg derefter Søg præference.
2: Efter søgningen vises, vælge Flere avancerede indstillinger fra søgningen assistent boksen. En anden måde er ved at klikke på Alle filer og mapper.
3: Efter denne type navnet på den fil, du søger, og klik på knappen Søg. Dette kan tage noget tid, hvorefter resultater vises. Hvis du har fundet den skadelig fil, du må kopiere eller åbne sin placering ved højreklikke på det.
Nu skulle du være i stand til at opdage en fil på Windows, så længe det er på din harddisk og ikke skjult via speciel software.
ServHelper Trojan FAQ
What Does ServHelper Trojan Trojan Do?
The ServHelper Trojan Trojan er et ondsindet computerprogram designet til at forstyrre, skade, eller få uautoriseret adgang til et computersystem.
Det kan bruges til at stjæle følsomme data, få kontrol over et system, eller starte andre ondsindede aktiviteter.
Kan trojanske heste stjæle adgangskoder?
Ja, Trojans, like ServHelper Trojan, kan stjæle adgangskoder. Disse ondsindede programmer are designed to gain access to a user's computer, spionere på ofrene og stjæle følsomme oplysninger såsom bankoplysninger og adgangskoder.
Can ServHelper Trojan Trojan Hide Itself?
Ja, det kan. En trojaner kan bruge forskellige teknikker til at maskere sig selv, inklusive rootkits, kryptering, og formørkelse, at gemme sig fra sikkerhedsscannere og undgå registrering.
Kan en trojaner fjernes ved fabriksnulstilling?
Ja, en trojansk hest kan fjernes ved at nulstille din enhed til fabriksindstillinger. Dette skyldes, at det vil gendanne enheden til sin oprindelige tilstand, eliminering af skadelig software, der måtte være blevet installeret. Husk på, at der er mere sofistikerede trojanske heste, der efterlader bagdøre og geninficerer selv efter fabriksnulstilling.
Can ServHelper Trojan Trojan Infect WiFi?
Ja, det er muligt for en trojaner at inficere WiFi-netværk. Når en bruger opretter forbindelse til det inficerede netværk, trojaneren kan spredes til andre tilsluttede enheder og kan få adgang til følsomme oplysninger på netværket.
Kan trojanske heste slettes?
Ja, Trojanske heste kan slettes. Dette gøres typisk ved at køre et kraftfuldt anti-virus eller anti-malware program, der er designet til at opdage og fjerne ondsindede filer. I nogle tilfælde, manuel sletning af trojaneren kan også være nødvendig.
Kan trojanske heste stjæle filer?
Ja, Trojanske heste kan stjæle filer, hvis de er installeret på en computer. Dette gøres ved at tillade malware forfatter eller bruger for at få adgang til computeren og derefter stjæle filerne, der er gemt på den.
Hvilken anti-malware kan fjerne trojanske heste?
Anti-malware programmer som f.eks SpyHunter er i stand til at scanne efter og fjerne trojanske heste fra din computer. Det er vigtigt at holde din anti-malware opdateret og regelmæssigt scanne dit system for skadelig software.
Kan trojanske heste inficere USB?
Ja, Trojanske heste kan inficere USB enheder. USB-trojanske heste spredes typisk gennem ondsindede filer downloadet fra internettet eller delt via e-mail, allowing the hacker to gain access to a user's confidential data.
About the ServHelper Trojan Research
Indholdet udgiver vi på SensorsTechForum.com, this ServHelper Trojan how-to removal guide included, er resultatet af omfattende forskning, hårdt arbejde og vores teams hengivenhed til at hjælpe dig med at fjerne det specifikke trojanske problem.
How did we conduct the research on ServHelper Trojan?
Bemærk venligst, at vores forskning er baseret på en uafhængig undersøgelse. Vi er i kontakt med uafhængige sikkerhedsforskere, takket være, at vi modtager daglige opdateringer om de seneste malware-definitioner, herunder de forskellige typer trojanske heste (bagdør, Downloader, infostealer, løsesum, etc.)
Endvidere, the research behind the ServHelper Trojan threat is backed with VirusTotal.
For bedre at forstå truslen fra trojanske heste, Se venligst følgende artikler, som giver kyndige detaljer.