Casa > Trojan > Retire ServHelper Trojan de su PC
eliminan la amenaza

Retire ServHelper Trojan de su

El ServHelper troyano es un arma peligrosa utilizado en contra de los usuarios de computadoras en todo el mundo. Infecta principalmente a través de mensajes de correo electrónico de phishing. Nuestro artículo da una visión general de su comportamiento en función de las muestras recogidas e informes disponibles, También puede ser útil en el intento de eliminar el virus.

Resumen de amenazas

Nombre ServHelper de Troya
Escribe Trojan
Descripción breve El ServHelper troyano es un virus informático que está diseñado para infiltrarse en los sistemas informáticos en silencio.
Los síntomas Las víctimas no pueden experimentar síntomas aparentes de infección.
Método de distribución Las vulnerabilidades de software, Instalaciones de dominio público, paquetes combinados, Guiones y otros.
Herramienta de detección Ver si su sistema ha sido afectado por malware

Descargar

Herramienta de eliminación de software malintencionado

Experiencia de usuario Unirse a nuestro foro para discutir ServHelper de Troya.

ServHelper de Troya - Métodos de distribución

El ServHelper troyano es un programa malicioso puerta trasera activa que utiliza un método de infección muy compleja para ofrecer una nueva amenaza llamada “FlawedGrace”. Los primeros casos de la campaña de ataque fueron identificados en noviembre 2018 cuando se detectaron las señales de sus muestras.

La infección inicial se realiza a través de una pequeña de tamaño campaña de phishing de correo electrónico que se centraron las instituciones financieras. Se hicieron pasar por las comunicaciones internas, notificaciones de servicio u otros mensajes que eran muy propensos a ser abiertos por los destinatarios. Su incluirán documentos adjuntos de todos los formatos populares: documentos de texto enriquecido, hojas de cálculo, bases de datos y presentaciones. Tan pronto como se abren por las víctimas aparecerá un mensaje preguntando ellos para permitir la incorporada en las secuencias de comandos. Esto dará lugar a la entrega de carga útil.

La siguiente campaña estaba dirigida a la industria minorista con una combinación de diferentes archivos adjuntos, a saber, “.doc”, ".pub", o “.wiz”.

Diciembre 2018 vi otra versión de la ServHelper Troya esta vez utilizando una combinación de diversas técnicas - no sólo los documentos de phishing, sino también mensajes de PDF que contiene enlaces a sitios maliciosos se describe como “plugins de Adobe PDF”. El contenido del cuerpo de los mensajes de correo electrónico también pueden contener enlaces directos a los archivos de virus. Los archivos PDF que se están distribuyendo coaccionan a los usuarios haciéndoles creer que tienen que descargar una nueva versión de la aplicación Adobe Reader para poder visualizar correctamente. Se muestran los enlaces a las cepas peligrosas.

Esto significa que es muy posible que otros métodos de entrega que se utiliza, así:

  • Los instaladores de paquete - Los criminales pueden intentar crear archivos de configuración de software populares que contienen el código del virus. Esto se hace tomando los archivos legítimos de sus fuentes oficiales y que incluye las instrucciones necesarias. Las opciones populares incluyen utilidades del sistema, suites creatividad, de productividad de oficina y aplicaciones y etc..
  • sitios de malware - Los piratas informáticos pueden crear sitios de phishing que imitan bien conocidos portales de descarga, las páginas de destino, los motores de búsqueda y otros. Se hacen mediante el uso de nombres de dominio que suenan similares y certificados de seguridad que pueden ser tanto las credenciales de firma propia o comprados a las autoridades de certificación usando falsa o robada.
  • Los secuestradores de navegador - Representan plugins maliciosos que se hacen compatible con los navegadores web más populares. Estos casos sobre todo se pueden encontrar en los repositorios relevantes están publicando con reseñas de usuarios falsos e información desarrollador. Las descripciones publicadas prometen nuevas características y optimizaciones de rendimiento. Al mismo tiempo, tan pronto como se instalan los cambios importantes pueden ocurrir a los navegadores - la modificación de la configuración, tales como la página de inicio por defecto, motor de búsqueda y nueva página de pestañas. Esto se hace con el fin de redirigir las víctimas a una página prediseñado pirata informático controlado.
  • Redes de intercambio de archivos - Los archivos también pueden ser compartidos en redes como BitTorrent, donde los usuarios de Internet publican activamente tanto contenido legítimo y pirata.

A medida que avanzan las campañas más anticipamos que las nuevas campañas de phishing se pondrá en marcha como el propio malware se actualiza.

ServHelper de Troya - Descripción detallada

Tan pronto como el ServHelper troyano ha infectado a los anfitriones que lanzará un modelo de comportamiento basado en la configuración actual. El motor principal en sí está escrito en Delphi que significa que el código fuente se puede modificar fácilmente entre las iteraciones.

Casi todos ellos establecerá instantáneamente un local de cliente de Troya lo que permite a los atacantes para establecer una conexión segura con sus propios servidores. El “túnel” versión del troyano ServHelper configurar un túnel SSH inversa. Esto significa que los criminales serán capaces de utilizar el software de escritorio remoto común con el fin de acceder a los ordenadores infectados. Tan pronto como esto se hace el motor de malware automáticamente analizar el sistema y localizar todas las cuentas de usuario. Serán secuestrados, así como las credenciales del navegador web almacenadas. Esto significa que el ServHelper troyano puede acceder a todos los parámetros importantes de los navegadores web más populares:

  • Galletas
  • Ajustes
  • Marcadores
  • Historia
  • Preferencias del sitio almacenados
  • Credenciales de cuenta almacenados

Todas las variantes conocidas del puerto de utilización de Troya 443 que se utilizan para sesiones HTTPS y 80 que es para la entrega normal de la web página del servidor. Desde la perspectiva de un administrador de red las máquinas comprometidas enviarán tráfico legítimo ya que algunas aplicaciones de escritorio remoto puede enrutar el tráfico a través de estos puertos.

La mayoría de los servidores de piratas informáticos controlados se encuentran en “.PW” dominios de nivel superior que puede ser una señal de advertencia para los administradores. Algunas de las versiones posteriores también disponen de algunos dominios de nivel superior de la “.bit” tipo que también están asociados con la criptomoneda Namecoin.

La información de POST contenida en los servidores de comando y de control se ha encontrado que la señal parámetros codificados: “clave” que representa la ID de la amenaza que está codificado en cada versión virus separado. El “SYSID” parámetro mostrará el ID exclusivo que se genera para cada host diferente. Las muestras capturadas utilizan un algoritmo que utiliza los datos siguientes como valores de entrada: Identificación de campaña, Versión de Windows, arquitectura del sistema, nombre de usuario y un número entero aleatorio. Un tercer parámetro llamado “resp” contiene las respuestas de los controladores de hackers.

Una lista de todos los comandos disponibles que han sido capturados en el análisis de redes en vivo revela lo siguiente arsenal:

  • nop - Esto permitirá una funcionalidad de mantenimiento de conexión que sondear constantemente la conexión de red con el fin de que siga funcionando.
  • hacer - Esto configurar una conexión de túnel de los anfitriones comprometidos procedentes de la puerto RDP (3389). Algunas de las muestras capturadas se han encontrado para ejecutar una amplia gama de comandos. Se va a extraer y colocar y binarios OpenSSH, configurar el software local RDP Warapper Biblioteca y crear un nombre de usuario asociado llamada “supportaccount” con una contraseña predeterminada de “Ghar4f5”. se añadirá a este usuario a los usuarios remotos “Escritorio” y grupos “Administradores”. Las versiones posteriores reemplazarán a esta aplicación de terceros con el incorporado en la aplicación de escritorio remoto de Windows.
  • slp - Esto establecerá un tiempo de espera del sueño hacker definido.
  • zorro - Esto dará instrucciones a la instancia local para copiar el perfil de usuario Mozilla Firefox.
  • cromo - Esto va a hacer lo mismo para Google Chrome.
  • killtun - Esto matará a un proceso de túnel SSH activo.
  • tunlist - Este comando mostrará una lista de todos los túneles SSH activos.
  • killalltuns - Mata todos los procesos de túneles SSH.
  • cáscara - Esto ejecutará un comando shell dado y enviar la respuesta a la activa C&Servidor C.
  • carga - Este comando descargará y ejecutará un ejecutable desde una URL específica. La salida será reportada al servidor pirata informático controlado.
  • calcetines - Esto creará un túnel SSH inversa que se va a ejecutar entre el C&servidor de C y otros clientes.
  • selfkill - Esto eliminará el malware activo de las máquinas infectadas.
  • loaddll - Esto es muy similar a “carga” pero para los archivos DLL.
  • bk - Esto establecerá el túnel SSH inversa para utilizar un C&C especifica host remoto en lugar del servidor hardcoded.
  • secuestrar - Este comando secuestrar una cuenta de usuario dado con una persona conocida. Esto se hace mediante la creación de un archivo por lotes preestablecido que interactuará con el Registro de Windows y los servicios regulares de tareas.
  • kill vigor - Esto matará a todos los procesos que utilizan el comando de Windows “taskkill”.
  • sethijack - Esto controlará un built-in “alerta” mecanismo. Esto se realiza mediante un programa independiente que supervisa los eventos de inicio de sesión de usuario. Cuando un usuario legítimo registra un patrón de comportamiento incorporado se iniciará automáticamente: la “cromo” y “zorro” comandos se ejecutan, los perfiles se copian en el “supportaccount” de usuario y alertar a los controladores de hackers.
  • chromeport - Esto implementa la misma funcionalidad que “cromo”. Esto también dará lugar a la “FlawedGrace” la entrega de malware.

La mayoría de los Trojan ServHelper objetivo es ofrecer el FlawedGrace RAT. Es una carga útil que se entrega a través del troyano que actúa como un gotero. Tan pronto como se puso en marcha se iniciará un patrón de comportamiento incorporado. Se va a crear, cifrar y almacenar un archivo de configuración que contiene información sobre el servidor pirata informático controlado. El FlawedGrace RAT utiliza un protocolo binario separado para las comunicaciones y se puede utilizar un puerto diferente para la comunicación tal como se define por sus controladores. El único defecto es 443.

Una lista de los comandos que han sido identificados a partir de un análisis de la red es la siguiente:

target_remove, target_update, target_reboot, target_module_load, target_module_load_external, target_module_unload, target_download, target_upload, target_rdp, target_passwords, target_servers, target_script, destroy_os y desktop_stat

El hecho de que el ServHelper de Troya y la rata FlawedGrace asociado se agrupan en la mayoría de las campañas de ataque muestra que el actor detrás de la amenaza que se experimenta. Todas las campañas de publicación hasta ahora se dirigen a empresas y usuarios individuales no. Anticipamos que las futuras versiones se desarrollarán teniendo un arsenal aún más peligrosa de las acciones maliciosas.

Retire completamente NtCrypt Crypter

Para eliminar ServHelper de Troya manualmente desde el ordenador, seguir el tutorial eliminación paso a paso escrita abajo. En caso de que la extracción manual no se deshace del malware minero completamente, usted debe buscar y eliminar los elementos sobrantes con una herramienta anti-malware avanzado. Este tipo de software puede mantener su equipo seguro en el futuro.

Martin Beltov

Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.

Más Mensajes

Sígueme:
Gorjeo


Preparación antes de retirar ServHelper Trojan.

Antes de iniciar el proceso de eliminación real, se recomienda que usted hace los siguientes pasos de preparación.

  • Asegúrate de que tienes estas instrucciones siempre abierto y delante de sus ojos.
  • Hacer una copia de seguridad de todos sus archivos, aunque pudieran ser dañados. Debe hacer una copia de seguridad de sus datos con una solución de copia de nube y asegurar sus archivos contra cualquier tipo de pérdida, incluso de las amenazas más graves.
  • Ser paciente ya que esto podría tomar un tiempo.
  • Escanear en busca de malware
  • Arreglar registros
  • Eliminar archivos de virus

Paso 1: Analizar en busca de ServHelper de Troya con la herramienta de SpyHunter Anti-Malware

1. Haga clic en el "Descargar" botón para pasar a la página de descarga de SpyHunter.


Se recomienda realizar un análisis antes de comprar la versión completa del software para asegurarse de que la versión actual del software malicioso puede ser detectado por SpyHunter. Haga clic en los enlaces correspondientes para consultar SpyHunter's EULA, política de privacidad y Criterios de evaluación de amenazas.


2. Después de haber instalado SpyHunter, esperar a que se actualizar automáticamente.

SpyHunter 5 Paso de escaneo 1


3. Después de que el proceso de actualización ha terminado, clickea en el 'Malware / PC Scan' lengüeta. Una ventana nueva aparecerá. Haga clic en 'Iniciar escaneo'.

SpyHunter 5 Paso de escaneo 2


4. Después de SpyHunter ha terminado de escanear su PC en busca de archivos de la amenaza asociada y los encontró, se puede tratar de conseguir que se eliminan de forma automática y permanentemente haciendo clic en el 'Próximo' botón.

SpyHunter 5 Paso de escaneo 3

Si se han eliminado cualquier amenaza, se recomienda encarecidamente a reinicie su PC.

Paso 2: Limpiar los registros, creado por ServHelper troyano en su ordenador.

Los registros normalmente dirigidos de máquinas Windows son los siguientes:

  • HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
  • HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
  • HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
  • HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce

Puede acceder a ellos abriendo el editor del registro de Windows y eliminar cualquier valor, creado por ServHelper Troya allí. Esto puede ocurrir siguiendo los pasos debajo:


1. Abre el ventana Ejecutar otra vez, tipo "regedit" y haga clic en OKAY.
Quitar el paso de virus troyano 6


2. Al abrirlo, se puede navegar libremente a la Ejecutar y RunOnce llaves, cuyas ubicaciones se muestran anteriormente.
Quitar el paso de virus troyano 7


3. Se puede quitar el valor del virus haciendo clic derecho sobre él y eliminarlo.
Quitar el paso de virus troyano 8 Propina: Para encontrar un valor creado por virus, usted puede hacer clic derecho sobre él y haga clic "Modificar" para ver qué archivo que está configurado para ejecutarse. Si esta es la ubicación del archivo de virus, quitar el valor.

Paso 3: Find virus files created by ServHelper Trojan on your PC.


1.Para Windows 8, 8.1 y 10.

Para más nuevos sistemas operativos Windows

1: En su teclado de prensa + R y escribe explorer.exe en el Carrera cuadro de texto y haga clic en el OK botón.

Quitar el paso de virus troyano 9

2: Haga clic en su PC en la barra de acceso rápido. Esto suele ser un icono con un monitor y su nombre es ya sea "Mi computadora", "Mi PC" o "Este PC" o lo que sea que usted ha nombrado.

Quitar el paso de virus troyano 10

3: Navegue hasta el cuadro de búsqueda en la esquina superior derecha de la pantalla de su PC y escriba "FileExtension:" y después de lo cual escriba la extensión de archivo. Si usted está buscando para ejecutables maliciosos, Un ejemplo puede ser "FileExtension:exe". Después de hacer eso, dejar un espacio y escriba el nombre del archivo que cree que el malware ha creado. Aquí es cómo puede aparecer si se ha encontrado el archivo:

extensión de archivo malicioso

N.B. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.

2.Para Windows XP, Vista, y 7.

Para más viejos sistemas operativos Windows

En los sistemas operativos Windows más antiguos, el enfoque convencional debería ser el efectivo:

1: Haga clic en el Menu de inicio icono (por lo general en su parte inferior izquierda) y luego elegir el Búsqueda preferencia.

Quitar virus troyano

2: Después de que aparezca la ventana de búsqueda, escoger Más opciones avanzadas Del cuadro de asistente de búsqueda. Otra forma es haciendo clic en Todos los archivos y carpetas.

Quitar el paso de virus troyano 11

3: Después de ese tipo el nombre del archivo que está buscando y haga clic en el botón Buscar. Esto puede llevar algún tiempo después del cual aparecerán resultados. Si usted ha encontrado el archivo malicioso, usted puede copiar o abrir por su ubicación botón derecho del ratón en eso.

Ahora usted debería ser capaz de descubrir cualquier archivo en Windows, siempre y cuando se encuentra en su disco duro y no se oculta a través de un software especial.


ServHelper Trojan FAQ

What Does ServHelper Trojan Trojan Do?

The ServHelper Trojan Trojan es un programa informático malicioso diseñado para interrumpir, dañar, u obtener acceso no autorizado a un sistema informático. Se puede utilizar para robar datos confidenciales., obtener el control de un sistema, o lanzar otras actividades maliciosas.

¿Pueden los troyanos robar contraseñas??

, Troyanos, like ServHelper Trojan, puede robar contraseñas. Estos programas maliciosos are designed to gain access to a user's computer, espiar a las víctimas y robar información confidencial como datos bancarios y contraseñas.

Can ServHelper Trojan Trojan Hide Itself?

Sí, puede. Un troyano puede usar varias técnicas para enmascararse, incluyendo rootkits, cifrado, y ofuscación, para esconderse de los escáneres de seguridad y evadir la detección.

¿Se puede eliminar un troyano restableciendo los valores de fábrica??

, un troyano se puede eliminar restableciendo los valores de fábrica de su dispositivo. Esto se debe a que restaurará el dispositivo a su estado original., eliminando cualquier software malicioso que pueda haber sido instalado. Tenga en cuenta que hay troyanos más sofisticados que dejan puertas traseras y vuelven a infectar incluso después de un restablecimiento de fábrica..

Can ServHelper Trojan Trojan Infect WiFi?

Sí, es posible que un troyano infecte redes WiFi. Cuando un usuario se conecta a la red infectada, el troyano puede propagarse a otros dispositivos conectados y puede acceder a información confidencial en la red.

¿Se pueden eliminar los troyanos??

Sí, Los troyanos se pueden eliminar. Esto generalmente se hace ejecutando un poderoso programa antivirus o antimalware que está diseñado para detectar y eliminar archivos maliciosos.. En algunos casos, también puede ser necesaria la eliminación manual del troyano.

¿Pueden los troyanos robar archivos??

Sí, Los troyanos pueden robar archivos si están instalados en una computadora. Esto se hace permitiendo que el autor de malware o usuario para obtener acceso a la computadora y luego robar los archivos almacenados en ella.

¿Qué antimalware puede eliminar troyanos??

Programas anti-malware como SpyHunter son capaces de buscar y eliminar troyanos de su computadora. Es importante mantener su anti-malware actualizado y escanear regularmente su sistema en busca de cualquier software malicioso..

¿Pueden los troyanos infectar USB??

Sí, Los troyanos pueden infectar USB dispositivos. Troyanos USB normalmente se propaga a través de archivos maliciosos descargados de Internet o compartidos por correo electrónico, allowing the hacker to gain access to a user's confidential data.

About the ServHelper Trojan Research

El contenido que publicamos en SensorsTechForum.com, this ServHelper Trojan how-to removal guide included, es el resultado de una extensa investigación, trabajo duro y la dedicación de nuestro equipo para ayudarlo a eliminar el problema específico de los troyanos.

How did we conduct the research on ServHelper Trojan?

Tenga en cuenta que nuestra investigación se basa en una investigación independiente. Estamos en contacto con investigadores de seguridad independientes, gracias a lo cual recibimos actualizaciones diarias sobre las últimas definiciones de malware, incluidos los diversos tipos de troyanos (puerta trasera, downloader, Infostealer, rescate, etc)

Además, the research behind the ServHelper Trojan threat is backed with VirusTotal.

Para comprender mejor la amenaza que representan los troyanos, Consulte los siguientes artículos que proporcionan detalles informados..

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo