شرح کلی
نوع: تروجان (Trojan)
اسامی بدافزار:
Trojan.win32.Servhelper
درجه تخریب: زیاد
میزان شیوع: متوسط
تروجان (Trojan) چیست؟
تروجانها نوعی از بدافزار محسوب میشوند که خود را در قالب یک نرمافزار سالم و قانونی نشان میدهند و بسیار شبیه نرمافزارهای مفید و کاربردی رفتار میکنند، اما هنگامیکه اجرا میشوند خرابیهای زیادی را برای سیستم ایجاد میکنند. نرمافزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و غیره از جمله راههای ورود تروجانها میباشند. تروجانها برخلاف ویروسها و کرمهای کامپیوتری قادر به تکثیر خود نیستند.
بدافزار Servhelper چیست؟
این خانواده از بدافزار در دو نسخه Dropper و Backdoor وجود دارد. در نسخه Backdoor با ارتباط با سرور هایی خاص اقدام به ارسال اطلاعات و دریافت دستور میکند. در نسخهی Dropper اقدام به ایجاد بدافزار میکند. از دیگر اهداف این بدافزار میتوان به سرقت اطلاعات ذخیره شده در مرورگر کاربران اشاره کرد.
توضیحات فنی
برخی از گونههای این بدافزار کد مخرب خود را در پردازه سیستمی msra.exe که پردازه سیستمی ریموت دسکتاپ است تزریق میکنند. گونه ای دیگر از این خانواده اقدام به Drop کردن بدافزار FlawedGrace میکند. برخی گونهها نیز فایل helpobj.dat را در سیستم قرار میدهند و با استفاده از rundll32.exe آنرا اجرا میکنند. شیوه انتشار از طریق فایلهای آلوده پیوست شده به ایمیل میباشد. به اینصورت که یک فایل word دارای ماکروی آلوده به URLهای مخربی وصل شده و فایلهای آلوده را دانلود میکند و یا یک فایل pdf که حاوی لینکی در ظاهر معتبر، برای بهروزرسانی آخرین نسخه برنامه adobe reader میباشد. درحالی که این لینک مخرب باعث دانلود بدافزار میشود.
در نمونه های رصد شده بوسیله آزمایشگاه تحلیل بدافزار پادویش یک فایل PDF که دارای یک لینک به ظاهر معتبر برای بهروز رسانی به آخرین نسخه برنامه Adobe Reader میباشد یافت شده است.
آدرس لینک مذکور:
http://www.adobe.com/products/acrobat/readstep2.html
ولی این فقط ظاهر لینک است و آدرس واقعی این لینک URL زیر است:
https://adobeupdt.net/En-US/reader/download/?installer=Reader_DC_2019.009.20088_English_Windows
که این لینک مخرب است.
علائم آلودگی به بدافزار Servhelper:
نسخههای مختلف از این بدافزار علائم متفاوتی دارند.
1-در برخی نسخهها علائم زیر مشاهده میشود:
وجود فایل های زیر:
%USER%\appdata\local\temp\NtWrite.dat
%USER%\appdata\local\temp\tmp31.tmp
بالا بودن پردازه msra.exe (پردازه سیستمی و استاندارد remote desktop) و تلاش برای برقراری ارتباط با آدرس های زیر:
Checksolutions[.]pw:443
Afgdhjkrm[.]pw:443
pointsoft[.]pw:443
dedoshop[.]pw:443
2- در برخی نسخهها علائم زیر مشاهده میشود:
ایجاد یک سرویس به trust که فایل آن را با اسم winreset در مسیر زیر قرار میدهد:
%PROGRAMFILES%\(x86)\Common Files\System\winreset.exe
بالا بودن پردازه دو سرویس به نام winreset.exe.
تلاش برای برقراری ارتباط با ip زیر:
46.161.27.241
3- در برخی نسخهها علائم زیر مشاهده میشود:
وجود فایل helpobj.dat , zxa.bat , sdw.vbs , 1.lnk در مسیر زیر:
%USER%\appdata\local\temp
بالا بودن دو پردازه rundll32.exe که در حال اجرا کردن فایل helpobj.dat و تلاش برای برقراری ارتباط با آدرسهای زیر هستند:
Checksolutions[.]pw:443
Afgdhjkrm[.]pw:443
pointsoft[.]pw:443
dedoshop[.]pw:443
روش مقابله و پاکسازی سیستم
آنتیویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف میکند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد میشود از کلیک بر روی لینکهای مشکوک خودداری نموده و فایلهای ضمیمه ایمیلها را قبل از اجرا، حتما پویش کنید. همچنین در صورت امکان همیشه سیستمعامل و آنتیویروس خود را به روز نگه دارید.