Accueil > Troyen > Supprimer ServHelper Trojan de votre PC
Suppression des menaces

Retirer ServHelper Trojan de votre PC

Le cheval de Troie ServHelper est une arme dangereuse utilisée contre les utilisateurs d'ordinateurs dans le monde entier. Le virus infecte principalement par des e-mails de phishing. Notre article donne un aperçu de son comportement en fonction des échantillons recueillis et les rapports disponibles, aussi il peut être utile pour tenter de supprimer le virus.

Menace Résumé

Nom ServHelper cheval de Troie
Type Troyen
brève description Le cheval de Troie est ServHelper un virus informatique qui est conçu pour infiltrer silencieusement les systèmes informatiques.
Symptômes Les victimes peuvent ne présentent aucun symptôme apparent d'infection.
Méthode de distribution Les vulnérabilités de logiciels, Installations Freeware, Forfaits groupés, Scripts et autres.
Detection Tool Voir si votre système a été affecté par des logiciels malveillants

Télécharger

Malware Removal Tool

Expérience utilisateur Rejoignez notre Forum pour discuter ServHelper cheval de Troie.

ServHelper cheval de Troie - Méthodes de distribution

Le cheval de Troie ServHelper est un logiciel malveillant de porte dérobée active qui utilise une méthode d'infection très complexe pour fournir une autre menace appelée “FlawedGrace”. Les premiers cas de la campagne d'attaque ont été identifiés en Novembre 2018 lorsque les signes de ses échantillons ont été détectés.

L'infection initiale a été réalisée par une petite taille email campagne de phishing qui visait les institutions financières. Ils ont posé les communications internes, notifications de service ou d'autres messages qui étaient très susceptibles d'être ouverts par les destinataires. Leur comprendra les documents ci-joints de tous les formats populaires: riches documents texte, feuilles de calcul, bases de données et présentations. Dès qu'ils sont ouverts par les victimes une invite apparaîtra en leur demandant de permettre à l'intégré dans les scripts. Cela conduira à la livraison de la charge utile.

La prochaine campagne ciblait l'industrie du détail avec une combinaison de différentes pièces jointes, à savoir « .doc », ".pub", ou « .wiz ».

Décembre 2018 a vu une autre version du cheval de Troie ServHelper cette fois en utilisant un mélange de différentes techniques - non seulement les documents de phishing, mais aussi des messages PDF contenant des liens vers des sites malveillants décrits comme “plugins Adobe PDF”. Le contenu du corps des messages électroniques peuvent également contenir des liens directs vers les fichiers de virus. Les fichiers PDF qui sont distribués contraignent les utilisateurs en leur faisant croire qu'ils ont besoin de télécharger une nouvelle version de l'application Adobe Reader pour afficher correctement ce. Ils sont présentés des liens vers les souches dangereuses.

Cela signifie qu'il est très possible que d'autres méthodes de livraison à utiliser aussi bien:

  • Installateurs Bundle - Les criminels peuvent essayer de créer des fichiers de configuration de logiciels populaires qui contiennent le code du virus. Cela se fait en prenant les fichiers légitimes de leurs sources officielles et y compris les instructions nécessaires. Les choix populaires comprennent des utilitaires système, suites de créativité, des applications de productivité et de bureau et etc.
  • Sites malveillants - Les pirates peuvent créer des sites de phishing qui imitent les portails de téléchargement bien connus, landing pages produit, moteurs de recherche et autres. Ils sont faits en utilisant des noms de domaine similaires et des certificats consonance de sécurité qui peuvent être soit achetés ou auto-signés par les autorités de certification en utilisant des informations d'identification faux ou volé.
  • pirates de navigateur - Ils représentent des plugins malveillants qui sont rendues compatibles avec les navigateurs web les plus populaires. Ces exemples peuvent être trouvés sur la plupart du temps les dépôts concernés sont affichées avec de fausses informations utilisateur et des informations de développeur. Les descriptions affichées promettent des ajouts de fonctionnalités et l'optimisation des performances. En même temps, dès qu'ils sont installés des changements importants peuvent se produire aux navigateurs - la modification des paramètres tels que la page d'accueil par défaut, moteur de recherche et nouvelle page onglets. Ceci est fait afin de rediriger les victimes vers une page contrôlée hacker-préconçue.
  • Réseaux de partage de fichiers - Les fichiers peuvent également être partagés sur les réseaux comme BitTorrent, où les internautes postent activement à la fois le contenu légitime et pirate.

Comme les campagnes progressent plus loin, nous prévoyons que de nouvelles campagnes de phishing seront lancés en tant que malware lui-même est mis à jour.

ServHelper cheval de Troie - Description détaillée

Dès que le cheval de Troie a infecté ServHelper les hôtes qu'il va lancer un modèle de comportement en fonction de la configuration actuelle. Le moteur principal est lui-même écrit en Delphi qui signifie que le code source peut facilement être modifié entre les itérations.

La quasi-totalité d'entre eux mettra instantanément local client cheval de Troie permettant aux attaquants de mettre en place une connexion sécurisée à leurs propres serveurs. La “tunnel” version du cheval de Troie ServHelper configurer un tunnel SSH inverse. Cela signifie que les criminels seront en mesure d'utiliser le logiciel Remote Desktop commune afin d'accéder aux ordinateurs infectés. Dès que cela est fait le moteur des programmes malveillants analysera automatiquement le système et de localiser tous les comptes utilisateurs. Ils seront détournés ainsi que les informations d'identification de navigateur Web stockées. Cela signifie que le cheval de Troie peut ServHelper accéder à tous les paramètres importants des navigateurs web les plus populaires:

  • Cookies
  • Paramètres
  • Signets
  • Histoire
  • Préférences du site stockées
  • Pouvoirs des comptes enregistrés

Toutes les variantes connues du port d'utilisation cheval de Troie 443 qui sont utilisés pour les sessions HTTPS et 80 qui est pour la livraison de la page du serveur web normal. D'un point de vue de l'administrateur réseau les machines compromises envoient le trafic légitime que certaines applications de bureau à distance peuvent acheminer le trafic via ces ports.

La plupart des serveurs contrôlés hackers sont situés sur “.pw” domaines de premier niveau qui peut être un signe d'avertissement pour les administrateurs. Certaines des versions ultérieures disposent également des domaines de premier niveau de la “.bit” type qui sont également associés à la crypto-monnaie Namecoin.

Les informations POST contenues dans les serveurs de commande et de contrôle ont été trouvés pour signaler les paramètres codés: “clé” qui représente l'ID de la menace qui est dans chaque version hardcoded virus séparée. La “sysid” paramètre indique l'ID unique qui est généré pour chaque hôte différent. Les échantillons capturés utilisent un algorithme qui utilise les données suivantes en tant que valeurs d'entrée: ID de campagne, Version de Windows, Architecture du système, nom d'utilisateur et d'un nombre entier aléatoire. Un troisième paramètre appelé “resp” contient les réponses des contrôleurs de pirates.

Une liste de toutes les commandes disponibles qui ont été capturées à partir de l'analyse de réseau en direct révèle l'arsenal suivant:

  • nop - Cela permettra une fonctionnalité keep-alive qui sonde en permanence la connexion réseau afin de le garder en cours d'exécution.
  • faire - Cela crée une connexion tunnel à partir des hôtes provenant du compromis port RDP (3389). ont été trouvés Certains des échantillons capturés pour exécuter une vaste gamme de commandes. Ils vont extraire et déposer et binaires OpenSSH, configurer le logiciel local RDP Warapper Bibliothèque et créer un nom d'utilisateur associé appelé “supportaccount” avec un mot de passe prédéfini de “Ghar4f5”. Cet utilisateur sera ajouté aux « utilisateurs de bureau à distance » et « Administrateurs » groupes. Les versions ultérieures remplaceront cette application tierce avec le haut-application de bureau à distance de Windows.
  • slp - Cela définira un délai d'attente de sommeil défini pirate informatique.
  • Renard - Cela demandera l'instance locale de copier le profil de l'utilisateur Mozilla Firefox.
  • chrome - Cela va faire la même chose pour Google Chrome.
  • killtun - Cela va tuer un processus tunnel SSH actif.
  • tunlist - Cette commande liste tous les tunnels SSH actifs.
  • killalltuns - Tue tous les processus de tunnel SSH.
  • coquille - Cela exécutera une commande shell donnée et envoyer la réponse à l'actif C&Serveur C.
  • charge - Cette commande va télécharger et exécuter un fichier exécutable à partir d'une URL spécifique. La sortie sera signalé au serveur contrôlé pirate informatique.
  • chaussettes - Cela va créer un tunnel SSH inverse qui doit être exécuté entre le C&serveur C et d'autres clients.
  • selfkill - Cela supprimera le logiciel malveillant actif des machines infectées.
  • ChargeDLL - Ceci est très similaire à “charge” mais pour les fichiers DLL.
  • bk - Cela va régler le tunnel SSH inverse pour utiliser un C&C hôte distant spécifié au lieu du serveur hardcoded.
  • détourner - Cette commande pirater un compte utilisateur avec une personne connue. Cela se fait en créant un fichier batch prédéfini qui va interagir avec le Registre Windows et le service des tâches planifiées.
  • kill force - Cela va tuer tous les processus utilisant la commande Windows « de taskkill ».
  • sethijack - Cela contrôle intégré “alerte” mécanisme. Cela se fait par un programme distinct qui surveille les événements de connexion de l'utilisateur. Lorsqu'un utilisateur légitime enregistre un modèle de comportement intégré démarre automatiquement: la “chrome” et “Renard” les commandes seront exécutées, les profils seront copiés sur la “supportaccount” et alerter l'utilisateur les contrôleurs de pirates.
  • chromeport - Ceci implémente les mêmes fonctionnalités que “chrome”. Cela conduira aussi à la “FlawedGrace” la livraison des logiciels malveillants.

La plupart des ServHelper de Troie ont pour but de livrer le FlawedGrace RAT. Il est une charge utile qui est délivré par le cheval de Troie qui agit comme un compte-gouttes. Dès qu'il est lancé un modèle de comportement intégré sera lancé. Il va créer, chiffrer et stocker un fichier de configuration contenant des informations sur le serveur contrôlé pirate informatique. Le RAT FlawedGrace utilise un protocole binaire séparé pour la communication et il peut utiliser un autre port de communication tel que défini par ses contrôleurs. L'un par défaut est 443.

Une liste des commandes qui ont été identifiées à partir d'une analyse de réseau est le suivant:

target_remove, target_update, target_reboot, target_module_load, target_module_load_external, target_module_unload, target_download, target_upload, target_rdp, target_passwords, target_servers, target_script, destroy_os et desktop_stat

Le fait que le cheval de Troie ServHelper et le RAT FlawedGrace associés sont regroupés dans la plupart des campagnes d'attaque montre que l'acteur de menace derrière elle est vécue. Toutes les campagnes de livraison ciblent les entreprises à ce jour et pas les utilisateurs individuels. Nous prévoyons que les futures versions seront développés ayant un arsenal encore plus dangereux d'actions malveillantes.

Retirer NtCrypt Crypter complètement

Retirer ServHelper cheval de Troie manuellement à partir de votre ordinateur, suivre le tutoriel de retrait étape par étape écrit ci-dessous. Dans le cas où cette suppression manuelle ne se débarrasse pas du malware complètement mineur, vous devez rechercher et supprimer tous les éléments restants avec un outil anti-malware avancée. Un tel logiciel peut protéger votre ordinateur à l'avenir.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement


Preparation before removing ServHelper Trojan.

Avant de commencer le processus de suppression réelle, nous vous recommandons d'effectuer les étapes de préparation suivantes.

  • Assurez-vous que vous avez ces instructions toujours ouvert et devant vos yeux.
  • Faites une sauvegarde de tous vos fichiers, même si elles pourraient être endommagées. Vous devez sauvegarder vos données avec une solution de sauvegarde en nuage et assurer vos fichiers contre tout type de perte, même des menaces les plus graves.
  • Soyez patient car cela pourrait prendre un certain temps.
  • Rechercher les logiciels malveillants
  • Réparer les registres
  • Supprimer les fichiers de virus

Étape 1: Rechercher un cheval de Troie ServHelper avec SpyHunter Anti-Malware Tool

1. Cliquez sur le "Télécharger" bouton pour accéder à la page de téléchargement de SpyHunter.


Il est recommandé d'exécuter une analyse avant d'acheter la version complète du logiciel pour vous assurer que la version actuelle du logiciel malveillant peut être détecté par SpyHunter. Cliquez sur les liens correspondants pour vérifier SpyHunter's CLUF, politique de confidentialité et Critères d'évaluation des menaces.


2. Après avoir installé SpyHunter, attendez qu'il mettre à jour automatiquement.

SpyHunter 5 Étape de numérisation 1


3. Après le processus de mise à jour terminée, clique sur le «Analyse des programmes malveillants / PC» languette. Une nouvelle fenêtre apparaît. Cliquer sur 'Lancer l'analyse'.

SpyHunter 5 Étape de numérisation 2


4. Après SpyHunter a terminé la numérisation de votre PC pour tous les fichiers de la menace associée et les a trouvés, vous pouvez essayer de les faire retirer automatiquement et en permanence en cliquant sur le 'Prochain' bouton.

SpyHunter 5 Étape de numérisation 3

Si des menaces ont été supprimées, il est fortement recommandé de redémarrez votre PC.

Étape 2: Nettoyer les registres, créé par ServHelper Trojan sur votre ordinateur.

Les registres généralement ciblés des machines Windows sont les suivantes:

  • HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
  • HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
  • HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
  • HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce

Vous pouvez y accéder en ouvrant l'éditeur de Registre Windows et la suppression de toutes les valeurs, créé par ServHelper Trojan là. Cela peut se produire en suivant les étapes ci-dessous:


1. Ouvrez le Exécuter la fenêtre encore, type "regedit" et cliquez sur D'ACCORD.
Supprimer l'étape de cheval de Troie de virus 6


2. Lorsque vous ouvrez, vous pouvez naviguer librement au Run et RunOnce clés, dont les emplacements sont indiqués ci-dessus.
Supprimer l'étape de cheval de Troie de virus 7


3. Vous pouvez supprimer la valeur du virus par un clic droit dessus et retirer.
Supprimer l'étape de cheval de Troie de virus 8 Pointe: Pour trouver une valeur créée virus, vous pouvez faire un clic droit dessus et cliquez "Modifier" pour voir quel fichier il est configuré pour exécuter. Si cela est l'emplacement du fichier de virus, supprimer la valeur.

Étape 3: Find virus files created by ServHelper Trojan on your PC.


1.Pour Windows 8, 8.1 et 10.

Pour les plus récents systèmes d'exploitation Windows

1: Sur votre clavier, pressez la + R et écrire explorer.exe dans le Courir zone de texte et puis cliquez sur le D'accord bouton.

Supprimer l'étape de cheval de Troie de virus 9

2: Cliquer sur votre PC dans la barre d'accès rapide. Cela est généralement une icône avec un moniteur et son nom est soit "Mon ordinateur", "Mon PC" ou "Ce PC" ou ce que vous avez nommé il.

Supprimer l'étape de cheval de Troie de virus 10

3: Accédez au champ de recherche en haut à droite de l'écran de votre PC et tapez "extension de fichier:" et après quoi tapez l'extension de fichier. Si vous êtes à la recherche pour les exécutables malveillants, Un exemple peut être "extension de fichier:exe". Après avoir fait cela, laisser un espace et tapez le nom de fichier que vous croyez que le malware a créé. Voici comment cela peut apparaître si votre fichier a été trouvé:

extension de fichier malveillante

N.B. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.

2.Pour Windows XP, Vue, et 7.

Pour plus anciens systèmes d'exploitation Windows

Dans les anciens systèmes d'exploitation Windows, l'approche conventionnelle devrait être la plus efficace:

1: Cliquez sur le Le menu Démarrer icône (habituellement sur votre inférieur gauche) puis choisissez le Recherche préférence.

Supprimer le virus cheval de Troie

2: Après la fenêtre de recherche apparaît, choisir Options avancées de la boîte assistant de recherche. Une autre façon est en cliquant sur Tous les fichiers et dossiers.

Supprimer l'étape de cheval de Troie de virus 11

3: Après ce type le nom du fichier que vous recherchez et cliquez sur le bouton Rechercher. Cela peut prendre un certain temps, après quoi les résultats apparaîtront. Si vous avez trouvé le fichier malveillant, vous pouvez copier ou ouvrir son emplacement par clic-droit dessus.

Maintenant, vous devriez être en mesure de découvrir tous les fichiers sur Windows aussi longtemps qu'il est sur votre disque dur et ne soit pas cachée par l'intermédiaire d'un logiciel spécial.


ServHelper Trojan FAQ

What Does ServHelper Trojan Trojan Do?

The ServHelper Trojan Troyen est un programme informatique malveillant conçu pour perturber, dommage, ou obtenir un accès non autorisé à un système informatique. Il peut être utilisé pour voler des données sensibles, prendre le contrôle d'un système, ou lancer d'autres activités malveillantes.

Les chevaux de Troie peuvent-ils voler des mots de passe?

Oui, Les chevaux de Troie, like ServHelper Trojan, peut voler des mots de passe. Ces programmes malveillants are designed to gain access to a user's computer, espionner les victimes et voler des informations sensibles telles que des coordonnées bancaires et des mots de passe.

Can ServHelper Trojan Trojan Hide Itself?

Oui, ça peut. Un cheval de Troie peut utiliser diverses techniques pour se masquer, y compris les rootkits, chiffrement, et obfuscation, se cacher des scanners de sécurité et échapper à la détection.

Un cheval de Troie peut-il être supprimé par réinitialisation d'usine?

Oui, un cheval de Troie peut être supprimé en réinitialisant votre appareil aux paramètres d'usine. C'est parce qu'il restaurera l'appareil à son état d'origine, éliminant tout logiciel malveillant qui aurait pu être installé. Gardez à l’esprit qu’il existe des chevaux de Troie plus sophistiqués qui laissent des portes dérobées et réinfectent même après une réinitialisation d’usine.

Can ServHelper Trojan Trojan Infect WiFi?

Oui, il est possible qu'un cheval de Troie infecte les réseaux WiFi. Lorsqu'un utilisateur se connecte au réseau infecté, le cheval de Troie peut se propager à d'autres appareils connectés et accéder à des informations sensibles sur le réseau.

Les chevaux de Troie peuvent-ils être supprimés?

Oui, Les chevaux de Troie peuvent être supprimés. Cela se fait généralement en exécutant un puissant programme antivirus ou anti-malware conçu pour détecter et supprimer les fichiers malveillants.. Dans certains cas,, la suppression manuelle du cheval de Troie peut également être nécessaire.

Les chevaux de Troie peuvent-ils voler des fichiers?

Oui, Les chevaux de Troie peuvent voler des fichiers s'ils sont installés sur un ordinateur. Cela se fait en permettant au auteur de logiciels malveillants ou utilisateur pour accéder à l'ordinateur et ensuite voler les fichiers qui y sont stockés.

Quel anti-malware peut supprimer les chevaux de Troie?

Les programmes anti-malware tels que SpyHunter sont capables de rechercher et de supprimer les chevaux de Troie de votre ordinateur. Il est important de maintenir votre anti-malware à jour et d'analyser régulièrement votre système à la recherche de tout logiciel malveillant..

Les chevaux de Troie peuvent-ils infecter l'USB?

Oui, Les chevaux de Troie peuvent infecter USB dispositifs. Chevaux de Troie USB se propagent généralement par le biais de fichiers malveillants téléchargés sur Internet ou partagés par e-mail, allowing the hacker to gain access to a user's confidential data.

About the ServHelper Trojan Research

Le contenu que nous publions sur SensorsTechForum.com, this ServHelper Trojan how-to removal guide included, est le résultat de recherches approfondies, le travail acharné et le dévouement de notre équipe pour vous aider à éliminer le problème spécifique du cheval de Troie.

How did we conduct the research on ServHelper Trojan?

Veuillez noter que notre recherche est basée sur une enquête indépendante. Nous sommes en contact avec des chercheurs indépendants en sécurité, grâce auquel nous recevons des mises à jour quotidiennes sur les dernières définitions de logiciels malveillants, y compris les différents types de chevaux de Troie (détourné, downloader, infostealer, rançon, etc)

En outre, the research behind the ServHelper Trojan threat is backed with VirusTotal.

Pour mieux comprendre la menace posée par les chevaux de Troie, veuillez vous référer aux articles suivants qui fournissent des détails bien informés.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord