So entfernen Sie MODBEACON RAT vom Betriebssystem
TrojanerAuch bekannt als: MODBEACON Remote-Access-Trojaner
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist.
JETZT ENTFERNENUm das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.
Was für eine Malware ist MODBEACON RAT?
MODBEACON ist ein Remote Access Trojan (RAT), der einem entfernten Angreifer heimlichen Zugriff auf einen infizierten Windows-Computer ermöglicht, Befehle ausführt und zusätzliche Plugins lädt, während er im Speicher verborgen bleibt.
Laut Untersuchungen, die vom Qianxin Threat Intelligence Center veröffentlicht wurden, wird MODBEACON in einer Kampagne eingesetzt, die die Forscher „Operation Phnom Penh" nennen und die von einem hybriden Bedrohungsakteur betrieben wird, der als Silver Fox verfolgt wird und auch als „Ghost Distributor" bezeichnet wird.
Diese Gruppe kombiniert groß angelegte Softwarefälschung mit gezielteren Operationen, darunter Kampagnen gegen den Online-Glücksspielsektor Kambodschas, die Köder in Khmer-Sprache verwenden.
![]()
Mehr über MODBEACON
MODBEACON ist in Rust geschrieben und läuft vollständig im Arbeitsspeicher von 64-Bit-Windows-Systemen, was es für Antivirenprogramme schwieriger macht, es auf der Festplatte zu erkennen. Sobald es aktiv ist, kommuniziert es mit seinem Command-and-Control-Server über gRPC, das über HTTP/2 übertragen wird, und der gesamte Kanal ist in TLS-Verschlüsselung gehüllt, ähnlich wie normaler sicherer Web-Datenverkehr.
Bevor es Befehle entgegennimmt, erstellt MODBEACON einen Fingerabdruck des Hosts, baut ein Profil der Maschine auf, auf der es gelandet ist, und authentifiziert sich beim C2-Server mit einem langen Agent-Token. Dies ermöglicht es dem Betreiber, genau zu bestätigen, mit welchem Opfer er kommuniziert, und Anweisungen zu senden, die für dieses bestimmte Gerät gedacht sind.
Plugin-basiertes Design und Fernbefehle
MODBEACON enthält nicht von Anfang an jede Fähigkeit. Stattdessen verwendet es eine Plugin-basierte Architektur, und seine Betreiber können zusätzliche native Module in den Arbeitsspeicher laden, sie laden und wieder entladen, wenn sie fertig sind.
Dies hält den Kern-Trojaner klein, während es einem Angreifer dennoch ermöglicht, bei Bedarf neue Funktionen hinzuzufügen, wie weitere Aufklärung, Dateizugriff oder zusätzliche Payloads. Die Malware sendet außerdem regelmäßige Heartbeat- und Statusberichte, um den C2-Server darüber zu informieren, dass die infizierte Maschine online und bereit für neue Befehle ist.
Persistenz und Umgehung von Abwehrmechanismen
Um einen Neustart zu überstehen, richtet MODBEACON ein WMI-Ereignisabonnement ein, das ein verstecktes Timer-Objekt erstellt, zusammen mit geplanten Aufgaben und einem Windows-Dienst, sodass mindestens ein Mechanismus die Malware neu startet, wenn ein anderer entfernt wird.
Es erstellt außerdem einen globalen Mutex, sodass immer nur eine Kopie von sich selbst gleichzeitig läuft. Auf der Netzwerkseite tarnt MODBEACON seinen C2-Datenverkehr mithilfe einer Transportschicht, die nach Anti-Zensur-Proxy-Tools modelliert ist, wodurch der bösartige HTTP/2- und gRPC-Datenverkehr ähnlich wie legitimer verschlüsselter Datenverkehr aussieht und ihm hilft, an netzwerkbasierter Erkennung vorbeizukommen.
| Name | MODBEACON Remote-Access-Trojaner |
| Bedrohungstyp | Remote Access Trojaner (RAT) |
| Erkennungsnamen | Avast (Win64:MalwareX-gen [Pws]), Combo Cleaner (Trojan.GenericKD.80662733), ESET-NOD32 (Win64/Kryptik.HEH Trojan), Kaspersky (Backdoor.Win64.Agentb.aq), Microsoft (Trojan:Win64/ModBeacon.RV!MTB), Vollständige Liste (VirusTotal) |
| Symptome | Remote Access Trojaner sind darauf ausgelegt, den Computer des Opfers heimlich zu infiltrieren und still zu bleiben, sodass auf einer infizierten Maschine keine besonderen Symptome deutlich sichtbar sind. |
| Verbreitungsmethoden | Gefälschte Websites, bösartige Software-Installationsprogramme. |
| Schaden | Gestohlene Passwörter und Bankdaten, Identitätsdiebstahl, Hinzufügen des Computers des Opfers zu einem Botnetz, zusätzliche Infektionen, finanzieller Verlust, Kontoübernahme. |
| Verwandte Gefälschte Domains | sogou-xp.com, sogou-pv.top, sogou-xp.top, sosou-win.top, lightninguxvpn.com.cn, xy-kuaimiao.com.cn, win-letstalk.com.cn, cn-mumu.com.cn, win-yifanyi.com.cn, winmumu.com.cn, i4as-cn.com.cn, lightningxanx.com.cn, cmumu.cn, kuaimiao-kv.com.cn, kuaimiao-vs.com.cn, lightninshanlian.com.cn |
| Malware-Entfernung (Windows) |
Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. Combo Cleaner herunterladenDer kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk. |
Fazit
MODBEACON verschafft seinen Betreibern fortlaufenden, verborgenen Zugriff auf einen infizierten Computer, die Möglichkeit, nach Belieben neue Plugins zu übertragen, und einen Netzwerkkanal, der darauf ausgelegt ist, der Sicherheitsüberwachung auszuweichen. Mit dieser RAT infizierte Computer sind dem Risiko weiterer Payloads, Datendiebstahl und langfristiger verdeckter Überwachung ausgesetzt, daher sollte sie entfernt werden, sobald sie entdeckt wird.
Weitere Beispiele für RATs sind RemotePE, Navi und Banana.
Wie hat MODBEACON RAT meinen Computer infiltriert?
Gemäß der Forschung des Qianxin Threat Intelligence Center wird MODBEACON von der Silver-Fox-Gruppe verbreitet, auch „Ghost Distributor" genannt, die SEO-Poisoning-Kampagnen verwendet, die gefälschte Download-Seiten für beliebte Software des chinesischen Marktes hoch in den Suchergebnissen platzieren, sodass Opfer, die nach einem legitimen Programm suchen, stattdessen auf einer gefälschten Website landen.
Die beobachteten gefälschten Seiten geben sich als eine breite Palette alltäglicher Tools aus, darunter die Sogou-Eingabemethode, VPN-Apps, die unter Namen wie „闪连VPN" und „快喵VPN" verkauft werden, die Letstalk-Messaging-App, der MuMu-Android-Emulator, das 爱思助手 (i4Tools) iOS-Verwaltungsprogramm und sogar das Sandboxie-Sandbox-Tool, das fälschlicherweise als Übersetzungsprogramm bezeichnet wird. Jedes Installationsprogramm liefert MODBEACON anstelle der beworbenen Software oder zusätzlich zu ihr.
Derselbe Akteur hat separat Kampagnen gegen Kambodschas Online-Glücksspielsektor mithilfe von Phishing-Ködern in Khmer-Sprache durchgeführt, was zeigt, dass die Gruppe ihre Vorgehensweise an verschiedene Opfergruppen anpasst. Allgemeiner gesagt erreichen Bedrohungen wie MODBEACON Opfer auch über infizierte E-Mail-Anhänge, bösartige Werbeanzeigen und andere nicht vertrauenswürdige Download-Kanäle.
Wie kann man die Installation von Malware vermeiden?
Laden Sie Software immer direkt von der offiziellen Website des Anbieters herunter, anstatt Suchmaschinenergebnissen zu vertrauen, da SEO-vergiftete Seiten über der echten Download-Seite ranken und ihr fast identisch aussehen können. Seien Sie vorsichtig bei unerwarteten E-Mail-Anhängen und Links, und überprüfen Sie den Domainnamen einer Website doppelt, bevor Sie etwas herunterladen.
Halten Sie Ihr Betriebssystem und Ihre Anwendungen aktuell und verlassen Sie sich auf ein seriöses Sicherheitstool, anstatt anzunehmen, dass ein Programm sicher ist, nur weil es nahe der Spitze einer Suche erschienen ist. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um infiltrierte Malware automatisch zu beseitigen.
Gefälschte Websites, die bösartige Installationsprogramme mit MODBEACON RAT verbreiten:
Umgehende automatische Entfernung von Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
LADEN Sie Combo Cleaner herunterIndem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.
Schnellmenü:
- Was ist MODBEACON RAT?
- SCHRITT 1. Manuelle Entfernung der MODBEACON RAT-Malware.
- SCHRITT 2. Überprüfen Sie, ob Ihr Computer sauber ist.
Wie entfernt man Malware manuell?
Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - in der Regel ist es am besten, Antiviren- oder Anti-Malware-Programme dies automatisch erledigen zu lassen. Zur Entfernung dieser Malware empfehlen wir die Verwendung von Combo Cleaner Antivirus für Windows.
Wenn Sie Malware manuell entfernen möchten, besteht der erste Schritt darin, den Namen der Malware zu identifizieren, die Sie zu entfernen versuchen. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers läuft:

Wenn Sie die Liste der auf Ihrem Computer laufenden Programme überprüft haben, zum Beispiel mit dem Task-Manager, und ein Programm identifiziert haben, das verdächtig aussieht, sollten Sie mit diesen Schritten fortfahren:
Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt Autostart-Anwendungen, Registrierungs- und Dateisystemspeicherorte an:

Starten Sie Ihren Computer im abgesicherten Modus neu:
Windows XP- und Windows 7-Benutzer: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf Neu starten, klicken Sie auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die F8-Taste auf Ihrer Tastatur, bis Sie das Menü Erweiterte Windows-Optionen sehen, und wählen Sie dann Abgesicherter Modus mit Netzwerktreibern aus der Liste.

Video, das zeigt, wie man Windows 7 im „abgesicherten Modus mit Netzwerktreibern" startet:
Windows 8-Benutzer: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerktreibern - Gehen Sie zum Windows 8-Startbildschirm, geben Sie Erweitert ein, wählen Sie in den Suchergebnissen Einstellungen. Klicken Sie auf Erweiterte Startoptionen, wählen Sie im geöffneten Fenster „Allgemeine PC-Einstellungen" die Option Erweiterter Start.
Klicken Sie auf die Schaltfläche „Jetzt neu starten". Ihr Computer wird nun in das „Menü Erweiterte Startoptionen" neu gestartet. Klicken Sie auf die Schaltfläche „Problembehandlung" und dann auf die Schaltfläche „Erweiterte Optionen". Klicken Sie im Bildschirm für erweiterte Optionen auf „Starteinstellungen".
Klicken Sie auf die Schaltfläche „Neu starten". Ihr PC wird in den Bildschirm Starteinstellungen neu gestartet. Drücken Sie F5, um im abgesicherten Modus mit Netzwerktreibern zu booten.

Video, das zeigt, wie man Windows 8 im „abgesicherten Modus mit Netzwerktreibern" startet:
Windows 10-Benutzer: Klicken Sie auf das Windows-Logo und wählen Sie das Ein/Aus-Symbol. Klicken Sie im geöffneten Menü auf „Neu starten", während Sie die „Umschalttaste" auf Ihrer Tastatur gedrückt halten. Klicken Sie im Fenster „Option auswählen" auf „Problembehandlung", wählen Sie als Nächstes „Erweiterte Optionen".
Wählen Sie im Menü der erweiterten Optionen „Starteinstellungen" und klicken Sie auf die Schaltfläche „Neu starten". Im folgenden Fenster sollten Sie die Taste „F5" auf Ihrer Tastatur drücken. Dies startet Ihr Betriebssystem im abgesicherten Modus mit Netzwerktreibern neu.

Video, das zeigt, wie man Windows 10 im „abgesicherten Modus mit Netzwerktreibern" startet:
Extrahieren Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.

Klicken Sie in der Autoruns-Anwendung oben auf „Options" und deaktivieren Sie die Optionen „Hide Empty Locations" und „Hide Windows Entries". Klicken Sie nach diesem Vorgang auf das Symbol „Refresh".

Überprüfen Sie die von der Autoruns-Anwendung bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie beseitigen möchten.
Sie sollten den vollständigen Pfad und Namen notieren. Beachten Sie, dass einige Malware Prozessnamen unter legitimen Windows-Prozessnamen versteckt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie „Delete".

Nachdem Sie die Malware über die Autoruns-Anwendung entfernt haben (dies stellt sicher, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Malware-Namen suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Malware finden, stellen Sie sicher, dass Sie ihn entfernen.

Starten Sie Ihren Computer im normalen Modus neu. Das Befolgen dieser Schritte sollte jegliche Malware von Ihrem Computer entfernen. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie diese Kenntnisse nicht besitzen, überlassen Sie die Malware-Entfernung Antiviren- und Anti-Malware-Programmen.
Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es am besten, eine Infektion zu verhindern, anstatt zu versuchen, Malware später zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antivirensoftware. Um sicherzustellen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner Antivirus für Windows zu scannen.
Häufig gestellte Fragen (FAQ)
Mein Computer ist mit der MODBEACON RAT-Malware infiziert, sollte ich mein Speichergerät formatieren, um sie loszuwerden?
Das Formatieren wird MODBEACON RAT entfernen, aber es löscht auch jede Datei auf dem Laufwerk. Ein seriöses Sicherheitstool wie Combo Cleaner sollte in der Regel zuerst ausprobiert werden.
Was sind die größten Probleme, die die MODBEACON RAT-Malware verursachen kann?
MODBEACON RAT kann Angreifern fortlaufenden Fernzugriff auf Ihren Computer verschaffen und ihnen ermöglichen, nach Belieben zusätzliche bösartige Plugins zu laden. Dies kann zu Datendiebstahl, weiteren Infektionen und langfristiger verdeckter Überwachung führen.
Was ist der Zweck der MODBEACON RAT-Malware?
Der Zweck von MODBEACON RAT besteht darin, seinen Betreibern verdeckten, dauerhaften Fernzugriff auf infizierte Windows-Computer zu verschaffen, sodass sie Befehle erteilen und zusätzliche Plugins laden können, während sie einer Erkennung entgehen.
Wie hat die MODBEACON RAT-Malware meinen Computer infiltriert?
MODBEACON RAT wurde über gefälschte Installationsprogramme beliebter Software wie VPN-Apps, Eingabemethoden, Emulatoren und iOS-Verwaltungstools verbreitet, die den Opfern über SEO-vergiftete Suchergebnisse zugeschoben wurden.
Wird Combo Cleaner mich vor Malware schützen?
Ja. Combo Cleaner kann die meisten bekannten Malware erkennen und entfernen. Da Bedrohungen wie MODBEACON RAT darauf ausgelegt sind, sich tief im System zu verstecken, wird empfohlen, einen vollständigen Systemscan durchzuführen, um sicherzustellen, dass nichts übersehen wird.
Teilen:
Tomas Meskauskas
Erfahrener Sicherheitsforscher, professioneller Malware-Analyst
Meine Leidenschaft gilt der Computersicherheit und -technologie. Ich habe mehr als 10 Jahre Erfahrung in verschiedenen Unternehmen im Zusammenhang mit der Lösung computertechnischer Probleme und der Internetsicherheit. Seit 2010 arbeite ich als Autor und Redakteur für PCrisk. Folgen Sie mir auf Twitter und LinkedIn, um über die neuesten Bedrohungen der Online-Sicherheit informiert zu bleiben.
Das Sicherheitsportal PCrisk wird von der Firma RCS LT bereitgestellt.
Gemeinsam klären Sicherheitsforscher Computerbenutzer über die neuesten Online-Sicherheitsbedrohungen auf. Weitere Informationen über das Unternehmen RCS LT.
Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.
SpendenDas Sicherheitsportal PCrisk wird von der Firma RCS LT bereitgestellt.
Gemeinsam klären Sicherheitsforscher Computerbenutzer über die neuesten Online-Sicherheitsbedrohungen auf. Weitere Informationen über das Unternehmen RCS LT.
Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.
Spenden
▼ Diskussion einblenden