Jak usunąć MODBEACON RAT z systemu operacyjnego
TrojanZnany również jako: trojan zdalnego dostępu MODBEACON
Otrzymaj bezpłatne skanowanie i sprawdź, czy twój komputer jest zainfekowany.
USUŃ TO TERAZAby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.
Czym jest złośliwe oprogramowanie MODBEACON RAT?
MODBEACON to trojan zdalnego dostępu (RAT), który umożliwia zdalnemu operatorowi potajemny dostęp do zainfekowanego komputera z systemem Windows, uruchamianie poleceń i ładowanie dodatkowych wtyczek, pozostając przy tym ukrytym w pamięci.
Zgodnie z badaniami opublikowanymi przez Qianxin Threat Intelligence Center, MODBEACON jest wykorzystywany w kampanii, którą badacze nazywają „Operation Phnom Penh", prowadzonej przez hybrydowego cyberprzestępcę śledzonego jako Silver Fox, określanego również jako „Ghost Distributor".
Grupa ta łączy fałszowanie oprogramowania na dużą skalę z bardziej ukierunkowanymi operacjami, w tym kampaniami wymierzonymi w sektor hazardu internetowego w Kambodży, które wykorzystują przynęty w języku khmerskim.
![]()
Więcej o MODBEACON
MODBEACON jest napisany w języku Rust i działa całkowicie w pamięci na 64-bitowych systemach Windows, co utrudnia programom antywirusowym wykrycie go na dysku. Po uaktywnieniu komunikuje się ze swoim serwerem Command and Control za pomocą gRPC przenoszonego przez HTTP/2, a cały kanał jest opakowany w szyfrowanie TLS, podobnie jak normalny bezpieczny ruch internetowy.
Przed przyjęciem poleceń MODBEACON identyfikuje hosta, tworząc profil maszyny, na której się znalazł, i uwierzytelnia się wobec serwera C2 za pomocą długiego tokenu agenta. Pozwala to operatorowi dokładnie potwierdzić, z którą ofiarą się komunikuje, i wysyłać instrukcje przeznaczone dla konkretnego urządzenia.
Konstrukcja oparta na wtyczkach i zdalne polecenia
MODBEACON nie zawiera od początku wszystkich funkcji. Zamiast tego wykorzystuje architekturę opartą na wtyczkach, a jego operatorzy mogą wprowadzać dodatkowe natywne moduły do pamięci, ładować je i usuwać po zakończeniu.
Dzięki temu rdzeń trojana pozostaje mały, a atakujący może dodawać nowe funkcje na żądanie, takie jak dalsze rozpoznanie, dostęp do plików czy dodatkowe payloady. Malware wysyła również regularne raporty typu heartbeat i statusowe, informując serwer C2, że zainfekowana maszyna jest online i gotowa na nowe polecenia.
Utrzymywanie się i unikanie zabezpieczeń
Aby przetrwać ponowne uruchomienie, MODBEACON konfiguruje subskrypcję zdarzeń WMI, która tworzy ukryty obiekt czasowy, obok zaplanowanych zadań i usługi Windows, dzięki czemu co najmniej jeden mechanizm ponownie uruchomi malware, jeśli inny zostanie usunięty.
Tworzy również globalny mutex, aby jednocześnie działała tylko jedna jego kopia. Po stronie sieci MODBEACON maskuje swój ruch C2 za pomocą warstwy transportowej wzorowanej na narzędziach proxy przeciwdziałających cenzurze, dzięki czemu złośliwy ruch HTTP/2 i gRPC wygląda podobnie do legalnego szyfrowanego ruchu, co pomaga mu wymknąć się wykrywaniu opartemu na sieci.
| Nazwa | trojan zdalnego dostępu MODBEACON |
| Typ Zagrożenia | Trojan zdalnego dostępu (RAT) |
| Nazwy Wykrycia | Avast (Win64:MalwareX-gen [Pws]), Combo Cleaner (Trojan.GenericKD.80662733), ESET-NOD32 (Win64/Kryptik.HEH Trojan), Kaspersky (Backdoor.Win64.Agentb.aq), Microsoft (Trojan:Win64/ModBeacon.RV!MTB), Pełna Lista (VirusTotal) |
| Objawy | Trojany zdalnego dostępu są zaprojektowane tak, aby ukradkiem infiltrować komputer ofiary i pozostawać w ukryciu, przez co żadne konkretne objawy nie są wyraźnie widoczne na zainfekowanej maszynie. |
| Metody Dystrybucji | Fałszywe strony internetowe, złośliwe instalatory oprogramowania. |
| Szkody | Skradzione hasła i informacje bankowe, kradzież tożsamości, dodanie komputera ofiary do botnetu, dodatkowe infekcje, straty finansowe, przejęcie kont. |
| Powiązane Fałszywe Domeny | sogou-xp.com, sogou-pv.top, sogou-xp.top, sosou-win.top, lightninguxvpn.com.cn, xy-kuaimiao.com.cn, win-letstalk.com.cn, cn-mumu.com.cn, win-yifanyi.com.cn, winmumu.com.cn, i4as-cn.com.cn, lightningxanx.com.cn, cmumu.cn, kuaimiao-kv.com.cn, kuaimiao-vs.com.cn, lightninshanlian.com.cn |
| Usuwanie malware (Windows) |
Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. Pobierz Combo CleanerBezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk. |
Podsumowanie
MODBEACON zapewnia swoim operatorom ciągły, ukryty dostęp do zainfekowanego komputera, możliwość wprowadzania nowych wtyczek do woli oraz kanał sieciowy zbudowany tak, aby omijać monitorowanie bezpieczeństwa. Komputery zainfekowane tym RAT są narażone na kolejne payloady, kradzież danych i długotrwały ukryty nadzór, dlatego należy go usunąć, gdy tylko zostanie wykryty.
Więcej przykładów RAT-ów to RemotePE, Navi oraz Banana.
Jak MODBEACON RAT przedostał się do mojego komputera?
Zgodnie z badaniami Qianxin Threat Intelligence Center, MODBEACON jest rozpowszechniany przez grupę Silver Fox, zwaną również „Ghost Distributor", za pomocą kampanii SEO-poisoning, które umieszczają fałszywe strony pobierania popularnego oprogramowania na rynek chiński wysoko w wynikach wyszukiwania, przez co ofiary szukające legalnego programu trafiają zamiast tego na fałszywą stronę.
Zaobserwowane fałszywe strony podszywają się pod szeroką gamę codziennych narzędzi, w tym Sogou Input Method, aplikacje VPN sprzedawane pod nazwami takimi jak „闪连VPN" i „快喵VPN", komunikator Letstalk, emulator Androida MuMu, narzędzie do zarządzania iOS 爱思助手 (i4Tools), a nawet narzędzie do izolacji Sandboxie błędnie oznaczone jako program tłumaczący. Każdy instalator dostarcza MODBEACON zamiast reklamowanego oprogramowania lub razem z nim.
Ten sam podmiot prowadził oddzielnie kampanie wymierzone w sektor hazardu online w Kambodży, wykorzystując przynęty phishingowe w języku khmerskim, co pokazuje, że grupa dostosowuje swoje podejście do różnych grup ofiar. Ogólniej rzecz biorąc, zagrożenia takie jak MODBEACON docierają do ofiar również poprzez zainfekowane załączniki e-mail, złośliwe reklamy i inne niewiarygodne kanały pobierania.
Jak uniknąć instalacji malware?
Zawsze pobieraj oprogramowanie bezpośrednio ze strony oficjalnego dostawcy, zamiast ufać wynikom wyszukiwarki, ponieważ strony z zatrutym SEO mogą znaleźć się wyżej niż prawdziwa strona pobierania i wyglądać niemal identycznie jak ona. Zachowaj ostrożność wobec nieoczekiwanych załączników i linków w wiadomościach e-mail oraz dokładnie sprawdzaj nazwę domeny strony przed pobraniem czegokolwiek.
Aktualizuj swój system operacyjny i aplikacje oraz polegaj na renomowanym narzędziu zabezpieczającym, zamiast zakładać, że program jest bezpieczny tylko dlatego, że pojawił się blisko czołówki wyników wyszukiwania. Jeśli uważasz, że Twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie wyeliminować przeniknięte malware.
Fałszywe strony internetowe rozpowszechniające złośliwe instalatory zawierające MODBEACON RAT:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
POBIERZ Combo CleanerPobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.
Szybkie menu:
- Czym jest MODBEACON RAT?
- KROK 1. Ręczne usuwanie malware MODBEACON RAT.
- KROK 2. Sprawdź, czy Twój komputer jest czysty.
Jak usunąć malware ręcznie?
Ręczne usuwanie malware to skomplikowane zadanie - zazwyczaj najlepiej pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware, zalecamy użycie Combo Cleaner Antivirus dla Windows.
Jeśli chcesz usunąć malware ręcznie, pierwszym krokiem jest zidentyfikowanie nazwy malware, które próbujesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:

Jeśli sprawdziłeś listę programów działających na Twoim komputerze, na przykład za pomocą menedżera zadań, i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś kontynuować, wykonując następujące kroki:
Pobierz program o nazwie Autoruns. Ten program pokazuje aplikacje uruchamiane automatycznie oraz lokalizacje w Rejestrze i systemie plików:

Uruchom ponownie komputer w Trybie awaryjnym:
Użytkownicy Windows XP i Windows 7: Uruchom komputer w Trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Zaawansowane opcje systemu Windows, a następnie wybierz z listy Tryb awaryjny z obsługą sieci.

Film pokazujący, jak uruchomić Windows 7 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Uruchom Windows 8 w Trybie awaryjnym z obsługą sieci - Przejdź do Ekranu startowego Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, w otwartym oknie „Ustawienia ogólne komputera" wybierz Uruchamianie zaawansowane.
Kliknij przycisk „Uruchom ponownie teraz". Twój komputer uruchomi się teraz ponownie do „menu Zaawansowane opcje uruchamiania". Kliknij przycisk „Rozwiązywanie problemów", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania".
Kliknij przycisk „Uruchom ponownie". Twój komputer uruchomi się ponownie do ekranu Ustawienia uruchamiania. Naciśnij F5, aby uruchomić w Trybie awaryjnym z obsługą sieci.

Film pokazujący, jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilanie. W otwartym menu kliknij „Uruchom ponownie", przytrzymując klawisz „Shift" na klawiaturze. W oknie „wybierz opcję" kliknij „Rozwiązywanie problemów", następnie wybierz „Opcje zaawansowane".
W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W kolejnym oknie powinieneś kliknąć klawisz „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

Film pokazujący, jak uruchomić Windows 10 w „Trybie awaryjnym z obsługą sieci":
Wypakuj pobrane archiwum i uruchom plik Autoruns.exe.

W aplikacji Autoruns kliknij „Options" u góry i odznacz opcje „Hide Empty Locations" oraz „Hide Windows Entries". Po tej procedurze kliknij ikonę „Refresh".

Sprawdź listę udostępnioną przez aplikację Autoruns i zlokalizuj plik malware, który chcesz wyeliminować.
Powinieneś zapisać jego pełną ścieżkę i nazwę. Zwróć uwagę, że niektóre malware ukrywa nazwy procesów pod nazwami legalnych procesów Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Delete".

Po usunięciu malware za pomocą aplikacji Autoruns (co zapewnia, że malware nie uruchomi się automatycznie przy następnym starcie systemu), powinieneś wyszukać nazwę malware na swoim komputerze. Przed kontynuowaniem upewnij się, że włączyłeś ukryte pliki i foldery. Jeśli znajdziesz nazwę pliku malware, upewnij się, że go usuniesz.

Uruchom ponownie komputer w trybie normalnym. Wykonanie tych kroków powinno usunąć wszelkie malware z Twojego komputera. Zwróć uwagę, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności komputerowych. Jeśli nie posiadasz tych umiejętności, pozostaw usuwanie malware programom antywirusowym i anty-malware.
Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji malware. Jak zawsze, lepiej zapobiegać infekcji niż próbować usuwać malware później. Aby zapewnić bezpieczeństwo komputera, instaluj najnowsze aktualizacje systemu operacyjnego i używaj oprogramowania antywirusowego. Aby mieć pewność, że Twój komputer jest wolny od infekcji malware, zalecamy przeskanowanie go za pomocą Combo Cleaner Antivirus dla Windows.
Najczęściej zadawane pytania (FAQ)
Mój komputer jest zainfekowany malware MODBEACON RAT, czy powinienem sformatować urządzenie pamięci, aby się go pozbyć?
Formatowanie usunie MODBEACON RAT, ale również skasuje wszystkie pliki na dysku. Najpierw zazwyczaj warto wypróbować renomowane narzędzie zabezpieczające, takie jak Combo Cleaner.
Jakie są największe problemy, które może spowodować malware MODBEACON RAT?
MODBEACON RAT może zapewnić atakującym ciągły zdalny dostęp do Twojego komputera i pozwolić im na ładowanie dodatkowych złośliwych wtyczek do woli. Może to prowadzić do kradzieży danych, kolejnych infekcji i długotrwałego ukrytego nadzoru.
Jaki jest cel malware MODBEACON RAT?
Celem MODBEACON RAT jest zapewnienie jego operatorom ukrytego, trwałego zdalnego dostępu do zainfekowanych komputerów z systemem Windows, aby mogli wydawać polecenia i ładować dodatkowe wtyczki, unikając jednocześnie wykrycia.
Jak malware MODBEACON RAT przedostał się do mojego komputera?
MODBEACON RAT był rozpowszechniany przez fałszywe instalatory popularnego oprogramowania, takiego jak aplikacje VPN, metody wprowadzania danych, emulatory i narzędzia do zarządzania iOS, dostarczane ofiarom poprzez zatrute SEO wyniki wyszukiwania.
Czy Combo Cleaner ochroni mnie przed malware?
Tak. Combo Cleaner potrafi wykryć i usunąć większość znanego malware. Ponieważ zagrożenia takie jak MODBEACON RAT są zaprojektowane tak, aby ukrywać się głęboko w systemie, zalecane jest przeprowadzenie pełnego skanowania systemu, aby upewnić się, że nic nie zostanie pominięte.
Udostępnij:
Tomas Meskauskas
Ekspert ds. bezpieczeństwa, profesjonalny analityk złośliwego oprogramowania
Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online.
Portal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.
Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.
Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.
Przekaż darowiznęPortal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.
Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.
Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.
Przekaż darowiznę
▼ Pokaż dyskusję