Backdoor.win32.Servhelper

شرح کلی

نوع: تروجان (Trojan)
اسامی بدافزار:
Backdoor.win32.Servhelper
درجه تخریب: زیاد
میزان شیوع: متوسط

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند، اما هنگامی‌که اجرا می‌شوند خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و غیره از جمله راه‌های ورود تروجان‌ها می‌باشند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

بدافزار Servhelper چیست؟

این خانواده از بدافزار در دو نسخه Dropper و Backdoor وجود دارد. در نسخه Backdoor با ارتباط با سرور هایی خاص اقدام به ارسال اطلاعات و دریافت دستور می­‌کند. در نسخه‌ی Dropper اقدام به ایجاد بدافزار می­‌کند. از دیگر اهداف این بدافزار می­توان به سرقت اطلاعات ذخیره شده در مرورگر کاربران اشاره کرد.

توضیحات فنی

برخی از گونه‌های این بدافزار کد مخرب خود را در پردازه سیستمی msra.exe که پردازه سیستمی ریموت دسکتاپ است تزریق می‌کنند. گونه ای دیگر از این خانواده اقدام به Drop کردن بدافزار FlawedGrace می­‌کند. برخی گونه‌ها نیز فایل helpobj.dat را در سیستم قرار می‌دهند و با استفاده از rundll32.exe آن‌را اجرا می‌کنند. شیوه انتشار از طریق فایل­‌های آلوده پیوست شده به ایمیل می‌باشد. به اینصورت که یک فایل word دارای ماکروی آلوده به URLهای مخربی وصل شده و فایل‌های آلوده را دانلود می‌کند و یا یک فایل pdf که حاوی لینکی در ظاهر معتبر، برای بروزرسانی آخرین نسخه برنامه adobe reader ‌می‌باشد. درحالی که این لینک مخرب باعث دانلود بدافزار می‌­شود.

در نمونه های رصد شده بوسیله آزمایشگاه تحلیل بدافزار پادویش یک فایل PDF که دارای یک لینک به ظاهر معتبر برای بروز رسانی به آخرین نسخه برنامه Adobe Reader میباشد یافت شده است.

آدرس لینک مذکور:

http://www.adobe.com/products/acrobat/readstep2.html

ولی این فقط ظاهر لینک است و آدرس واقعی این لینک URL زیر است:

https://adobeupdt.net/En-US/reader/download/?installer=Reader_DC_2019.009.20088_English_Windows

که این لینک  مخرب است.

علائم آلودگی به بدافزار Servhelper:

نسخه‌های مختلف از این بدافزار علائم متفاوتی دارند.

1-در برخی نسخه‌ها علائم  زیر مشاهده می‌شود:
وجود فایل های زیر:

%USER%\appdata\local\temp\NtWrite.dat
%USER%\appdata\local\temp\tmp31.tmp

بالا بودن پردازه msra.exe (پردازه سیستمی و استاندارد remote desktop) و تلاش برای برقراری ارتباط با آدرس های زیر:

Checksolutions[.]pw:443
Afgdhjkrm[.]pw:443
pointsoft[.]pw:443
dedoshop[.]pw:443

2- در برخی نسخه‌ها علائم  زیر مشاهده می‌شود:
ایجاد یک سرویس به trust که فایل آن را با اسم winreset در مسیر زیر قرار می‌دهد:

%PROGRAMFILES%\(x86)\Common Files\System\winreset.exe

بالا بودن پردازه دو سرویس به نام winreset.exe.
تلاش برای برقراری ارتباط با ip زیر:

46.161.27.241

3- در برخی نسخه‌ها علائم  زیر مشاهده می‌شود:
وجود فایل helpobj.dat , zxa.bat , sdw.vbs , 1.lnk در مسیر زیر:

%USER%\appdata\local\temp

بالا بودن دو پردازه rundll32.exe که در حال اجرا کردن فایل helpobj.dat و تلاش برای برقراری ارتباط با آدرس‌های زیر هستند:

Checksolutions[.]pw:443
Afgdhjkrm[.]pw:443
pointsoft[.]pw:443
dedoshop[.]pw:443

روش مقابله و پاک‌سازی سیستم

آنتی‌ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. جهت پیشگیری از ورود این دست بدافزارها به سیستم پیشنهاد می‌شود از کلیک بر روی لینک‌های مشکوک خودداری نموده و فایل‌های ضمیمه ایمیل‌ها را قبل از اجرا، حتما پویش کنید. همچنین در صورت امکان همیشه سیستم‌عامل و آنتی‌ویروس خود را به روز نگه دارید.