Der ServHelper Trojan ist eine gefährliche Waffe gegen Computer-Nutzer weltweit im Einsatz. Er infiziert vor allem über Phishing-E-Mails. Unser Artikel gibt einen Überblick über sein Verhalten nach den gesammelten Proben und verfügbaren Berichte, Auch kann es hilfreich sein bei dem Versuch, den Virus zu entfernen.
Threat Zusammenfassung
Name | ServHelper Trojan |
Art | Trojan |
kurze Beschreibung | Der ServHelper Trojaner ist ein Computervirus, der still wurde entwickelt, um Computersysteme zu infiltrieren. |
Symptome | Die Opfer dürfen keine offensichtlichen Symptome einer Infektion auftreten. |
Verteilungsmethode | Software-Schwachstellen, Freeware-Installationen, gebündelte Pakete, Skripte und andere. |
Detection Tool |
Überprüfen Sie, ob Ihr System von Malware betroffen ist
Herunterladen
Malware Removal Tool
|
Benutzererfahrung | Abonnieren Sie unseren Forum zu Besprechen ServHelper Trojan. |
ServHelper Trojan - Verteilungsmethoden
Der ServHelper Trojan ist ein aktiver Backdoor-Malware, die eine sehr komplexe Infektion Methode verwendet eine weitere Bedrohung zu liefern genannt “FlawedGrace”. Die ersten Instanzen der Angriff Kampagne wurden im November identifiziert zurück 2018 wenn die Vorzeichen der Proben wurden festgestellt.
Die Erstinfektion wurde über eine kleine getan E-Mail-Phishing-Kampagne die gezielten Finanzinstitute. Sie stellten die interne Kommunikation, Servicemeldungen oder andere Nachrichten, die sehr wahrscheinlich waren, die von den Empfängern geöffnet werden. Deren werden hängte Dokumente aller gängigen Formate umfassen: Rich-Text-Dokumente, Tabellen, Datenbanken und Präsentationen. Sobald sie von den Opfern eine Aufforderung geöffnet sind, erscheint ihnen die eingebaute in Skripten zu ermöglichen, bitten. Dies wird auf die Nutzlast Lieferung führen.
Die nächste Kampagne zielte auf die Einzelhandelsbranche mit einer Kombination aus verschiedenen Aufsätzen, nämlich „.doc“, "PUB", oder „.wiz“.
Dezember 2018 sah ein anderes Release des ServHelper Trojan diesmal eine Mischung aus verschiedenen Techniken - nicht nur die Phishing-Dokumente, sondern auch PDF-Nachrichten mit Links zu bösartigen Websites, beschrieben als “Adobe PDF-Plugins”. Der Körper Inhalt der E-Mail-Nachrichten können auch direkte Links zu den Virus-Dateien enthalten. Die PDF-Dateien, die verteilt werden, um die Benutzer zu zwingen, zu glauben, dass sie eine neue Version der Adobe Reader-Anwendung, um herunterladen müssen sie korrekt anzuzeigen. Sie sind Links zu den gefährlichen Stämmen gezeigt.
Dies bedeutet, dass es auch für andere Versandmethoden sehr möglich ist, auch verwendet werden:
- Bundle Installateure - Die Kriminellen können versuchen, Setup-Dateien von populären Software zu erstellen, die den Virus-Code enthalten. Dies geschieht, indem die legitimen Dateien von ihrer offiziellen Quellen zu nehmen und darunter die notwendigen Anweisungen. Beliebte Auswahl umfasst System-Utilities, Kreativität Suiten, Produktivität und Office-Anwendungen und usw..
- Malware-Sites - Der Hacker kann Phishing-Seiten erstellen, die bekannte ahmen Download-Portale, Produktzielseiten, Suchmaschinen und andere. Sie werden unter Verwendung von ähnlich klingenden Domain-Namen und Sicherheitszertifikaten aus, die entweder selbst signierte oder gekauft von Zertifizierungsstellen mit gefälschter oder gestohlenen Zugangsdaten sein kann.
- Browser Hijacker - Sie stellen bösartige Plugins, die mit den meisten gängigen Web-Browsern kompatibel gemacht werden. Diese Instanzen können meist auf dem entsprechenden Repositories gefunden werden, dass mit gefälschten User-Bewertungen und Informationen für Entwickler veröffentlicht. Die ausgewiesenen Beschreibungen werden Feature Ergänzungen und Performance-Optimierungen versprechen. Zur gleichen Zeit, sobald sie wichtige Änderungen installiert werden, können zu den Browsern auftreten - die Änderung von Einstellungen wie die Standard-Startseite, Suchmaschine und neue Registerkarten Seite. Dies wird getan, um die Opfer zu einer predesigned Hacker gesteuerte Seite zu umleiten.
- File-Sharing-Netzwerke - Die Dateien können auch auf Netzwerke wie BitTorrent teilen, wenn Internet-Nutzer aktiv sowohl legitim und Piraten-Inhalte veröffentlichen.
Da die Kampagnen weiter Fortschritte, die wir erwarten, dass neue Phishing-Kampagnen wie die Malware gestartet wird selbst aktualisiert wird.
ServHelper Trojan - Detaillierte Beschreibung
Sobald der ServHelper Trojan die Gastgeber infiziert hat, wird es ein Verhaltensmuster zu starten, basierend auf der aktuellen Konfiguration. Die Hauptmaschine selbst in Delphi geschrieben wird, was bedeutet, dass der Quellcode leicht zwischen den Iterationen kann modifiziert werden.
Fast alle von ihnen werden eingerichtet sofort eine lokale Trojan-Client die Angreifer ermöglicht eine sichere Verbindung zu ihren eigenen Servern einzurichten. Die “Tunnel” Version des ServHelper Trojan wird ein Reverse-SSH-Tunnel konfigurieren. Dies bedeutet, dass die Kriminellen gemeinsame Remote-Desktop-Software zu verwenden, um in der Lage, die infizierten Computer zugreifen. Sobald dies der Malware-Engine automatisch das System erfolgt analysieren und alle Benutzerkonten lokalisieren. Sie werden sowie alle gespeicherten Web-Browser-Anmeldeinformationen missbraucht werden. Dies bedeutet, dass der ServHelper Trojan alle wichtigen Parameter des beliebtestenen Web-Browser zugreifen kann:
- Kekse
- Einstellungen
- Lesezeichen
- Geschichte
- Gespeicherte Site-Einstellungen
- Gespeicherten Kontoinformationen
Alle bekannten Varianten des Trojaners Verwendung Port 443 die für HTTPS-Sitzungen verwendet werden und 80 Das ist für die normale Web-Server-Seite Lieferung. Aus Sicht des Netzwerk-Administrator werden die infizierten Maschinen legitimen Datenverkehr, da einige Remote-Desktop-Anwendungen senden routen kann der Verkehr über diese Ports.
Die meisten der Hacker-kontrollierten Server befinden sich auf “.pw” Top-Level-Domains, die ein Warnzeichen für Administratoren sein können. Einige der späteren Versionen verfügen auch einige Top-Level-Domains von der “.Bit” Art, die auch mit der Namecoin Kryptowährung zugehörigen.
Die POST-Informationen in den Kommando- und Kontrollserver enthalten sind, um zu signalisieren, kodierten Parameter gefunden: “Taste” das stellt die ID der Bedrohung, die in jeder einzelnen Virus-Version fest einprogrammiert wird. Die “sysid” Parameter wird die eindeutige ID zeigen, die für jeden anderen Host erzeugt wird,. Die aufgenommenen Proben verwenden einen Algorithmus, der die folgenden Daten als Eingabewerte verwendet,: Kampagnen-ID, Windows-Version, Systemarchitektur, Benutzernamen und eine zufällige ganze Zahl. Ein dritte Parameter genannt “bzw” enthält die Antworten von dem Hacker-Controllern.
Eine Liste aller verfügbaren Befehle, die von der Live-Netzwerk-Analyse erfasst wurden ergibt folgendes Arsenal:
- nop - Das wird eine Keep-Alive-Funktionalität aktivieren, die ständig die Netzwerkverbindung, um sie zu halten Sonde läuft.
- tun - Dies wird eine Tunnelverbindung von dem kompromittierten Rechner stammt aus dem RDP-Port einrichten (3389). Einige der erfassten Proben gefunden wurden eine umfangreiche Reihe von Befehlen auszuführen. Sie werden extrahieren und fallen und OpenSSH binäre, die lokale RDP Warapper Library Software konfigurieren und einen zugehörigen Benutzernamen erstellen genannt “supportaccount” mit einem voreingestellten Passwort “Ghar4f5”. Dieser Benutzer wird auf die „Remote Desktop Users“ hinzugefügt werden, und „Administratoren“ Gruppen. Spätere Versionen werden diesen Drittanbieter-App mit dem Remote-Desktop-Anwendung integrierte Windows ersetzen.
- slp - Das wird ein Hacker definierte Schlaf Timeout.
- Fuchs - Dadurch wird die lokale Instanz anweisen, den Mozilla Firefox Benutzerprofil zu kopieren.
- Chrom - Das wird das gleiche für Google Chrome tun.
- killtun - Dies wird einen aktiven SSH-Tunnel Prozess töten.
- tunlist - Dieser Befehl listet alle aktiven SSH-Tunnel.
- killalltuns - Tötet alle SSH-Tunnel Prozesse.
- Schale - Dadurch wird einen gegebenen Shell-Befehl ausführen und die Antwort auf das aktive C senden&C-Server.
- Belastung - Dieser Befehl wird heruntergeladen und eine ausführbare Datei von einer bestimmten URL läuft. Die Ausgabe wird an den Hacker-kontrollierten Server gemeldet werden.
- Socken - Das wird einen Reverse-SSH-Tunnel, der zwischen dem C betrieben werden soll,&C-Server und andere Clients.
- Selfkill - Dies wird die aktiven Malware aus den infizierten Rechnern entfernen.
- loaddll - Dies ist sehr ähnlich “Belastung” aber für DLL-Dateien.
- bk - Dies wird den Reverse SSH-Tunnel einen C zu verwenden&C angegeben Remote-Host anstelle des hartkodierten Server.
- entführen - Dieser Befehl wird ein bestimmtes Benutzerkonto mit einer bekannten Person kapert. Dies wird durch die Schaffung einer voreingestellten Batchdatei durchgeführt, die mit der Windows-Registry und geplante Aufgaben Dienst interagieren.
- Kraft Tötungs - Dadurch werden alle Prozesse beenden Sie den Windows „taskkill“ Befehl.
- sethijack - Das wird eine eingebaute Steuer “warnen” Mechanismus. Dies wird durch ein separates Programm durchgeführt, die die Benutzer-Login-Ereignisse überwacht. Wenn ein berechtigter Benutzer ein integriertes Verhaltensmuster anmeldet wird automatisch gestartet: die “Chrom” und “Fuchs” Befehle werden ausgeführt, die Profile werden auf die kopiert werden “supportaccount” Benutzer und Alarmierung der Hacker-Controllern.
- chromeport - Dies implementiert die gleiche Funktionalität wie “Chrom”. Dies gilt auch für die Führung “FlawedGrace” Malware-Verbreitung.
Die meisten der ServHelper Trojan zielen die liefern FlawedGrace RAT. Es ist eine Nutzlast, die durch den Trojan geliefert wird, die als Tropfer wirkt. Sobald es ein integrierter Verhaltensmuster gestartet wird gestartet. Es wird erstellen, verschlüsseln und eine Konfigurationsdatei speichern, die Informationen über den Hacker-kontrollierten Server enthält. Der FlawedGrace RAT verwendet ein separates binäres Protokoll für die Kommunikation, und es kann einen anderen Port zur Kommunikation verwendet werden, wie durch seine Steuerungen definiert. Die Standardeinstellung ist 443.
Eine Liste der Befehle, die von einer Netzwerkanalyse identifiziert wurde, ist die folgende:
target_remove, target_update, target_reboot, target_module_load, target_module_load_external, target_module_unload, target_download, target_upload, target_rdp, target_passwords, target_servers, target_script, destroy_os und desktop_stat
Die Tatsache, dass der ServHelper Trojan und der damit verbundene FlawedGrace RAT zusammen gebündelt sind, in den meisten der Angriff Kampagnen zeigt, dass die Bedrohung Schauspieler dahinter erfahren werden. Alle Liefer Kampagnen zielen bisher Unternehmen und nicht einzelne Benutzer. Wir gehen davon aus, dass zukünftige Versionen entwickelt werden, wird eine noch gefährlichere Arsenal von böswilligen Aktionen mit.
Entfernen NtCrypt Crypter Vollständig
Zu entfernen ServHelper Trojan manuell von Ihrem Computer, den Schritt-für-Schritt-Tutorial Entfernung folgen unten abgewertet. Sollte diese manuelle Entfernung des miner Schädlings nicht vollständig befreien, Sie sollten für die Suche und alle übrig gebliebenen Gegenstände mit einer erweiterten Anti-Malware-Tool entfernen. Solche Software kann Ihr Computer sicher in der Zukunft halten.
Preparation before removing ServHelper Trojan.
Vor dem eigentlichen Entfernungsprozess starten, Wir empfehlen Ihnen die folgenden Vorbereitungsschritte zu tun.
- Stellen Sie sicher, dass Sie diese Anweisungen haben immer offen und vor Ihren Augen.
- Führen Sie eine Sicherung aller Dateien, selbst wenn sie beschädigt werden könnten. Sie sollten Ihre Daten mit einer Cloud-Backup-Lösung und sichern Sie Ihre Dateien gegen jede Art von Verlust sichern, selbst von den schwersten Bedrohungen.
- Seien Sie geduldig, da dies könnte eine Weile dauern.
- Nach Malware durchsuchen
- Register reparieren
- Entfernen Sie Virendateien
Schritt 1: Suchen Sie mit dem SpyHunter Anti-Malware-Tool nach ServHelper-Trojanern
Schritt 2: Reinigen Sie alle Register, erstellt von ServHelper Trojan auf Ihrem Computer.
Die in der Regel gezielt Register von Windows-Rechnern sind die folgenden:
- HKEY_LOCAL_MACHINE Software Microsoft Windows Currentversion Run
- HKEY_CURRENT_USER Software Microsoft Windows Currentversion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows Currentversion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows Currentversion RunOnce
Sie können auf sie zugreifen, indem Sie den Windows-Registrierungs-Editor und löschen Sie alle Werte öffnen, dort von ServHelper Trojaner erstellt. Dies kann passieren, darunter indem Sie die Schritte:
Schritt 3: Find virus files created by ServHelper Trojan on your PC.
1.Für Windows- 8, 8.1 und 10.
Für neuere Windows-Betriebssysteme
1: Auf Ihrer Tastatur drücken + R und schreibe explorer.exe im Lauf Textfeld ein und klicken Sie dann auf die Ok Taste.
2: Klicke auf Ihren PC von der schnellen Zugriffsleiste. Dies ist in der Regel ein Symbol mit einem Monitor und sein Name ist entweder "Mein Computer", "Mein PC" oder "Dieser PC" oder was auch immer Sie haben es benannt.
3: Navigieren Sie zum Suchfeld oben rechts auf dem Bildschirm Ihres PCs und geben Sie ein "Dateierweiterung:" und wonach geben Sie die Dateierweiterung. Wenn Sie böswillige exe-Dateien suchen, Ein Beispiel kann sein, "Dateierweiterung:exe". Nachdem ich, dass, einen Raum verlassen und den Dateinamen, den Sie sich die Malware glauben geben Sie erstellt. Hier ist, wie es scheinen mag, wenn Ihre Datei gefunden wurde,:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.Für Windows XP, Aussicht, und 7.
Für Ältere Windows-Betriebssysteme
In älteren Windows-Betriebssystemen sollte der herkömmliche Ansatz der effektive sein:
1: Klicken Sie auf die Startmenü Symbol (in der Regel auf der linken unteren) und wählen Sie dann die Suche Vorliebe.
2: Nachdem das Suchfenster erscheint, wählen Weitere Optionen von der Suchassistent Box. Eine andere Möglichkeit ist, indem Sie auf Alle Dateien und Ordner.
3: Nach dieser Art für den Namen der Datei, suchen Sie und klicken Sie auf die Schaltfläche Suchen. Dies könnte einige Zeit dauern, nach der Ergebnisse werden angezeigt. Wenn Sie die bösartige Datei gefunden, Sie können ihre Lage zu kopieren oder zu öffnen, indem Sie Rechtsklick auf sie.
Jetzt sollten Sie jede Datei unter Windows, so lange zu entdecken können, wie es auf der Festplatte ist und nicht über eine spezielle Software verborgen.
ServHelper Trojan FAQ
What Does ServHelper Trojan Trojan Do?
The ServHelper Trojan Trojan ist ein bösartiges Computerprogramm entworfen, um zu stören, Schaden, oder sich unbefugten Zugriff verschaffen an ein Computersystem. Es kann verwendet werden, um sensible Daten zu stehlen, Kontrolle über ein System erlangen, oder andere böswillige Aktivitäten starten.
Können Trojaner Passwörter stehlen??
Ja, Trojaner, like ServHelper Trojan, kann Passwörter stehlen. Diese Schadprogramme are designed to gain access to a user's computer, Opfer ausspionieren und vertrauliche Informationen wie Bankdaten und Passwörter stehlen.
Can ServHelper Trojan Trojan Hide Itself?
Ja, es kann. Ein Trojaner kann sich verschiedener Techniken bedienen, um sich zu maskieren, einschließlich Rootkits, Verschlüsselung, und Verschleierungs, um sich vor Sicherheitsscannern zu verstecken und der Entdeckung zu entgehen.
Kann ein Trojaner durch Zurücksetzen auf die Werkseinstellungen entfernt werden??
Ja, Ein Trojaner kann durch Zurücksetzen Ihres Geräts auf die Werkseinstellungen entfernt werden. Dies liegt daran, dass das Gerät in seinen ursprünglichen Zustand zurückversetzt wird, Entfernen von möglicherweise installierter Schadsoftware. Bedenken Sie, dass es ausgefeiltere Trojaner gibt, die Hintertüren hinterlassen und selbst nach einem Zurücksetzen auf die Werkseinstellungen erneut infizieren.
Can ServHelper Trojan Trojan Infect WiFi?
Ja, Es ist möglich, dass ein Trojaner WiFi-Netzwerke infiziert. Wenn sich ein Benutzer mit dem infizierten Netzwerk verbindet, Der Trojaner kann sich auf andere verbundene Geräte ausbreiten und auf vertrauliche Informationen im Netzwerk zugreifen.
Können Trojaner gelöscht werden?
Ja, Trojaner können gelöscht werden. Dies geschieht normalerweise durch Ausführen eines leistungsstarken Antiviren- oder Anti-Malware-Programms, das darauf ausgelegt ist, bösartige Dateien zu erkennen und zu entfernen. In einigen Fällen, Gegebenenfalls ist auch eine manuelle Löschung des Trojaners erforderlich.
Können Trojaner Dateien stehlen??
Ja, Trojaner können Dateien stehlen, wenn sie auf einem Computer installiert sind. Dies geschieht durch Zulassen der Malware-Autor oder Benutzer, sich Zugriff auf den Computer zu verschaffen und dann die darauf gespeicherten Dateien zu stehlen.
Welche Anti-Malware kann Trojaner entfernen?
Anti-Malware-Programme wie z SpyHunter sind in der Lage, Ihren Computer nach Trojanern zu durchsuchen und diese zu entfernen. Es ist wichtig, Ihre Anti-Malware auf dem neuesten Stand zu halten und Ihr System regelmäßig auf schädliche Software zu scannen.
Können Trojaner USB infizieren?
Ja, Trojaner können infizieren USB Geräte. USB-Trojaner verbreitet sich in der Regel über bösartige Dateien, die aus dem Internet heruntergeladen oder per E-Mail geteilt werden, allowing the hacker to gain access to a user's confidential data.
About the ServHelper Trojan Research
Die Inhalte, die wir auf SensorsTechForum.com veröffentlichen, this ServHelper Trojan how-to removal guide included, ist das Ergebnis umfangreicher Recherchen, harte Arbeit und die Hingabe unseres Teams, um Ihnen bei der Beseitigung des spezifischen Trojanerproblems zu helfen.
How did we conduct the research on ServHelper Trojan?
Bitte beachten Sie, dass unsere Forschung auf einer unabhängigen Untersuchung basiert. Wir stehen in Kontakt mit unabhängigen Sicherheitsforschern, Dank dessen erhalten wir täglich Updates zu den neuesten Malware-Definitionen, einschließlich der verschiedenen Arten von Trojanern (hintertür, Downloader, infostealer, Lösegeld, usw.)
Weiter, the research behind the ServHelper Trojan threat is backed with Virustotal.
Um die Bedrohung durch Trojaner besser zu verstehen, Bitte lesen Sie die folgenden Artikel, die sachkundige Details bieten.