Jak usunąć MODBEACON RAT z systemu operacyjnego

Trojan

Znany również jako: trojan zdalnego dostępu MODBEACON

Poziom uszkodzenia:

Otrzymaj bezpłatne skanowanie i sprawdź, czy twój komputer jest zainfekowany.

USUŃ TO TERAZ

Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Czym jest złośliwe oprogramowanie MODBEACON RAT?

MODBEACON to trojan zdalnego dostępu (RAT), który umożliwia zdalnemu operatorowi potajemny dostęp do zainfekowanego komputera z systemem Windows, uruchamianie poleceń i ładowanie dodatkowych wtyczek, pozostając przy tym ukrytym w pamięci.

Zgodnie z badaniami opublikowanymi przez Qianxin Threat Intelligence Center, MODBEACON jest wykorzystywany w kampanii, którą badacze nazywają „Operation Phnom Penh", prowadzonej przez hybrydowego cyberprzestępcę śledzonego jako Silver Fox, określanego również jako „Ghost Distributor".

Grupa ta łączy fałszowanie oprogramowania na dużą skalę z bardziej ukierunkowanymi operacjami, w tym kampaniami wymierzonymi w sektor hazardu internetowego w Kambodży, które wykorzystują przynęty w języku khmerskim.

MODBEACON RAT

Więcej o MODBEACON

MODBEACON jest napisany w języku Rust i działa całkowicie w pamięci na 64-bitowych systemach Windows, co utrudnia programom antywirusowym wykrycie go na dysku. Po uaktywnieniu komunikuje się ze swoim serwerem Command and Control za pomocą gRPC przenoszonego przez HTTP/2, a cały kanał jest opakowany w szyfrowanie TLS, podobnie jak normalny bezpieczny ruch internetowy.

Przed przyjęciem poleceń MODBEACON identyfikuje hosta, tworząc profil maszyny, na której się znalazł, i uwierzytelnia się wobec serwera C2 za pomocą długiego tokenu agenta. Pozwala to operatorowi dokładnie potwierdzić, z którą ofiarą się komunikuje, i wysyłać instrukcje przeznaczone dla konkretnego urządzenia.

Konstrukcja oparta na wtyczkach i zdalne polecenia

MODBEACON nie zawiera od początku wszystkich funkcji. Zamiast tego wykorzystuje architekturę opartą na wtyczkach, a jego operatorzy mogą wprowadzać dodatkowe natywne moduły do pamięci, ładować je i usuwać po zakończeniu.

Dzięki temu rdzeń trojana pozostaje mały, a atakujący może dodawać nowe funkcje na żądanie, takie jak dalsze rozpoznanie, dostęp do plików czy dodatkowe payloady. Malware wysyła również regularne raporty typu heartbeat i statusowe, informując serwer C2, że zainfekowana maszyna jest online i gotowa na nowe polecenia.

Utrzymywanie się i unikanie zabezpieczeń

Aby przetrwać ponowne uruchomienie, MODBEACON konfiguruje subskrypcję zdarzeń WMI, która tworzy ukryty obiekt czasowy, obok zaplanowanych zadań i usługi Windows, dzięki czemu co najmniej jeden mechanizm ponownie uruchomi malware, jeśli inny zostanie usunięty.

Tworzy również globalny mutex, aby jednocześnie działała tylko jedna jego kopia. Po stronie sieci MODBEACON maskuje swój ruch C2 za pomocą warstwy transportowej wzorowanej na narzędziach proxy przeciwdziałających cenzurze, dzięki czemu złośliwy ruch HTTP/2 i gRPC wygląda podobnie do legalnego szyfrowanego ruchu, co pomaga mu wymknąć się wykrywaniu opartemu na sieci.

Podsumowanie zagrożenia:
Nazwa trojan zdalnego dostępu MODBEACON
Typ Zagrożenia Trojan zdalnego dostępu (RAT)
Nazwy Wykrycia Avast (Win64:MalwareX-gen [Pws]), Combo Cleaner (Trojan.GenericKD.80662733), ESET-NOD32 (Win64/Kryptik.HEH Trojan), Kaspersky (Backdoor.Win64.Agentb.aq), Microsoft (Trojan:Win64/ModBeacon.RV!MTB), Pełna Lista (VirusTotal)
Objawy Trojany zdalnego dostępu są zaprojektowane tak, aby ukradkiem infiltrować komputer ofiary i pozostawać w ukryciu, przez co żadne konkretne objawy nie są wyraźnie widoczne na zainfekowanej maszynie.
Metody Dystrybucji Fałszywe strony internetowe, złośliwe instalatory oprogramowania.
Szkody Skradzione hasła i informacje bankowe, kradzież tożsamości, dodanie komputera ofiary do botnetu, dodatkowe infekcje, straty finansowe, przejęcie kont.
Powiązane Fałszywe Domeny sogou-xp.com, sogou-pv.top, sogou-xp.top, sosou-win.top, lightninguxvpn.com.cn, xy-kuaimiao.com.cn, win-letstalk.com.cn, cn-mumu.com.cn, win-yifanyi.com.cn, winmumu.com.cn, i4as-cn.com.cn, lightningxanx.com.cn, cmumu.cn, kuaimiao-kv.com.cn, kuaimiao-vs.com.cn, lightninshanlian.com.cn
Usuwanie malware (Windows)

Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner.

Pobierz Combo Cleaner

Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Podsumowanie

MODBEACON zapewnia swoim operatorom ciągły, ukryty dostęp do zainfekowanego komputera, możliwość wprowadzania nowych wtyczek do woli oraz kanał sieciowy zbudowany tak, aby omijać monitorowanie bezpieczeństwa. Komputery zainfekowane tym RAT są narażone na kolejne payloady, kradzież danych i długotrwały ukryty nadzór, dlatego należy go usunąć, gdy tylko zostanie wykryty.

Więcej przykładów RAT-ów to RemotePE, Navi oraz Banana.

Jak MODBEACON RAT przedostał się do mojego komputera?

Zgodnie z badaniami Qianxin Threat Intelligence Center, MODBEACON jest rozpowszechniany przez grupę Silver Fox, zwaną również „Ghost Distributor", za pomocą kampanii SEO-poisoning, które umieszczają fałszywe strony pobierania popularnego oprogramowania na rynek chiński wysoko w wynikach wyszukiwania, przez co ofiary szukające legalnego programu trafiają zamiast tego na fałszywą stronę.

Zaobserwowane fałszywe strony podszywają się pod szeroką gamę codziennych narzędzi, w tym Sogou Input Method, aplikacje VPN sprzedawane pod nazwami takimi jak „闪连VPN" i „快喵VPN", komunikator Letstalk, emulator Androida MuMu, narzędzie do zarządzania iOS 爱思助手 (i4Tools), a nawet narzędzie do izolacji Sandboxie błędnie oznaczone jako program tłumaczący. Każdy instalator dostarcza MODBEACON zamiast reklamowanego oprogramowania lub razem z nim.

Ten sam podmiot prowadził oddzielnie kampanie wymierzone w sektor hazardu online w Kambodży, wykorzystując przynęty phishingowe w języku khmerskim, co pokazuje, że grupa dostosowuje swoje podejście do różnych grup ofiar. Ogólniej rzecz biorąc, zagrożenia takie jak MODBEACON docierają do ofiar również poprzez zainfekowane załączniki e-mail, złośliwe reklamy i inne niewiarygodne kanały pobierania.

Jak uniknąć instalacji malware?

Zawsze pobieraj oprogramowanie bezpośrednio ze strony oficjalnego dostawcy, zamiast ufać wynikom wyszukiwarki, ponieważ strony z zatrutym SEO mogą znaleźć się wyżej niż prawdziwa strona pobierania i wyglądać niemal identycznie jak ona. Zachowaj ostrożność wobec nieoczekiwanych załączników i linków w wiadomościach e-mail oraz dokładnie sprawdzaj nazwę domeny strony przed pobraniem czegokolwiek.

Aktualizuj swój system operacyjny i aplikacje oraz polegaj na renomowanym narzędziu zabezpieczającym, zamiast zakładać, że program jest bezpieczny tylko dlatego, że pojawił się blisko czołówki wyników wyszukiwania. Jeśli uważasz, że Twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie wyeliminować przeniknięte malware.

Fałszywe strony internetowe rozpowszechniające złośliwe instalatory zawierające MODBEACON RAT:

Fałszywa strona Sogou Input Method rozpowszechniająca MODBEACON RAT Fałszywa strona Lightning VPN rozpowszechniająca MODBEACON RAT Fałszywa strona Kuaimiao VPN rozpowszechniająca MODBEACON RAT Fałszywa strona Letstalk rozpowszechniająca MODBEACON RAT Fałszywa strona narzędzia tłumaczącego rozpowszechniająca MODBEACON RAT Fałszywa strona emulatora MuMu rozpowszechniająca MODBEACON RAT Fałszywa strona i4Tools rozpowszechniająca MODBEACON RAT Fałszywa strona Lightning VPN rozpowszechniająca MODBEACON RAT Fałszywa strona Kuaimiao VPN rozpowszechniająca MODBEACON RAT Fałszywa strona Kuaimiao VPN rozpowszechniająca MODBEACON RAT Fałszywa strona Lightning VPN rozpowszechniająca MODBEACON RAT

Natychmiastowe automatyczne usunięcie malware:

Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:

POBIERZ Combo Cleaner

Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Szybkie menu:

Jak usunąć malware ręcznie?

Ręczne usuwanie malware to skomplikowane zadanie - zazwyczaj najlepiej pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware, zalecamy użycie Combo Cleaner Antivirus dla Windows.

Jeśli chcesz usunąć malware ręcznie, pierwszym krokiem jest zidentyfikowanie nazwy malware, które próbujesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:

Proces malware działający w Menedżerze zadań

Jeśli sprawdziłeś listę programów działających na Twoim komputerze, na przykład za pomocą menedżera zadań, i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś kontynuować, wykonując następujące kroki:

ręczne usuwanie malware krok 1Pobierz program o nazwie Autoruns. Ten program pokazuje aplikacje uruchamiane automatycznie oraz lokalizacje w Rejestrze i systemie plików:

Wygląd aplikacji Autoruns

ręczne usuwanie malware krok 2Uruchom ponownie komputer w Trybie awaryjnym:

Użytkownicy Windows XP i Windows 7: Uruchom komputer w Trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Zaawansowane opcje systemu Windows, a następnie wybierz z listy Tryb awaryjny z obsługą sieci.

Uruchom Windows 7 lub Windows XP w Trybie awaryjnym z obsługą sieci

Film pokazujący, jak uruchomić Windows 7 w „Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Uruchom Windows 8 w Trybie awaryjnym z obsługą sieci - Przejdź do Ekranu startowego Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, w otwartym oknie „Ustawienia ogólne komputera" wybierz Uruchamianie zaawansowane.

Kliknij przycisk „Uruchom ponownie teraz". Twój komputer uruchomi się teraz ponownie do „menu Zaawansowane opcje uruchamiania". Kliknij przycisk „Rozwiązywanie problemów", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania".

Kliknij przycisk „Uruchom ponownie". Twój komputer uruchomi się ponownie do ekranu Ustawienia uruchamiania. Naciśnij F5, aby uruchomić w Trybie awaryjnym z obsługą sieci.

Uruchom Windows 8 w Trybie awaryjnym z obsługą sieci

Film pokazujący, jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilanie. W otwartym menu kliknij „Uruchom ponownie", przytrzymując klawisz „Shift" na klawiaturze. W oknie „wybierz opcję" kliknij „Rozwiązywanie problemów", następnie wybierz „Opcje zaawansowane".

W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W kolejnym oknie powinieneś kliknąć klawisz „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

Uruchom Windows 10 w Trybie awaryjnym z obsługą sieci

Film pokazujący, jak uruchomić Windows 10 w „Trybie awaryjnym z obsługą sieci":

ręczne usuwanie malware krok 3Wypakuj pobrane archiwum i uruchom plik Autoruns.exe.

Wypakuj archiwum Autoruns.zip i uruchom aplikację Autoruns.exe

ręczne usuwanie malware krok 4W aplikacji Autoruns kliknij „Options" u góry i odznacz opcje „Hide Empty Locations" oraz „Hide Windows Entries". Po tej procedurze kliknij ikonę „Refresh".

Odśwież wyniki aplikacji Autoruns

ręczne usuwanie malware krok 5Sprawdź listę udostępnioną przez aplikację Autoruns i zlokalizuj plik malware, który chcesz wyeliminować.

Powinieneś zapisać jego pełną ścieżkę i nazwę. Zwróć uwagę, że niektóre malware ukrywa nazwy procesów pod nazwami legalnych procesów Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Delete".

Usuń malware w Autoruns

Po usunięciu malware za pomocą aplikacji Autoruns (co zapewnia, że malware nie uruchomi się automatycznie przy następnym starcie systemu), powinieneś wyszukać nazwę malware na swoim komputerze. Przed kontynuowaniem upewnij się, że włączyłeś ukryte pliki i foldery. Jeśli znajdziesz nazwę pliku malware, upewnij się, że go usuniesz.

Wyszukaj malware i usuń je

Uruchom ponownie komputer w trybie normalnym. Wykonanie tych kroków powinno usunąć wszelkie malware z Twojego komputera. Zwróć uwagę, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności komputerowych. Jeśli nie posiadasz tych umiejętności, pozostaw usuwanie malware programom antywirusowym i anty-malware.

Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji malware. Jak zawsze, lepiej zapobiegać infekcji niż próbować usuwać malware później. Aby zapewnić bezpieczeństwo komputera, instaluj najnowsze aktualizacje systemu operacyjnego i używaj oprogramowania antywirusowego. Aby mieć pewność, że Twój komputer jest wolny od infekcji malware, zalecamy przeskanowanie go za pomocą Combo Cleaner Antivirus dla Windows.

Najczęściej zadawane pytania (FAQ)

Mój komputer jest zainfekowany malware MODBEACON RAT, czy powinienem sformatować urządzenie pamięci, aby się go pozbyć?

Formatowanie usunie MODBEACON RAT, ale również skasuje wszystkie pliki na dysku. Najpierw zazwyczaj warto wypróbować renomowane narzędzie zabezpieczające, takie jak Combo Cleaner.

Jakie są największe problemy, które może spowodować malware MODBEACON RAT?

MODBEACON RAT może zapewnić atakującym ciągły zdalny dostęp do Twojego komputera i pozwolić im na ładowanie dodatkowych złośliwych wtyczek do woli. Może to prowadzić do kradzieży danych, kolejnych infekcji i długotrwałego ukrytego nadzoru.

Jaki jest cel malware MODBEACON RAT?

Celem MODBEACON RAT jest zapewnienie jego operatorom ukrytego, trwałego zdalnego dostępu do zainfekowanych komputerów z systemem Windows, aby mogli wydawać polecenia i ładować dodatkowe wtyczki, unikając jednocześnie wykrycia.

Jak malware MODBEACON RAT przedostał się do mojego komputera?

MODBEACON RAT był rozpowszechniany przez fałszywe instalatory popularnego oprogramowania, takiego jak aplikacje VPN, metody wprowadzania danych, emulatory i narzędzia do zarządzania iOS, dostarczane ofiarom poprzez zatrute SEO wyniki wyszukiwania.

Czy Combo Cleaner ochroni mnie przed malware?

Tak. Combo Cleaner potrafi wykryć i usunąć większość znanego malware. Ponieważ zagrożenia takie jak MODBEACON RAT są zaprojektowane tak, aby ukrywać się głęboko w systemie, zalecane jest przeprowadzenie pełnego skanowania systemu, aby upewnić się, że nic nie zostanie pominięte.

Udostępnij:

facebook
X (Twitter)
linkedin
skopiuj link
Tomas Meskauskas

Tomas Meskauskas

Ekspert ds. bezpieczeństwa, profesjonalny analityk złośliwego oprogramowania

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online.

▼ Pokaż dyskusję

Portal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.

Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

Przekaż darowiznę