Comment supprimer MODBEACON RAT du système d'exploitation
de TroieÉgalement connu sous le nom de: Cheval de Troie d'accès à distance MODBEACON
Obtenez une analyse gratuite et vérifiez si votre ordinateur est infecté.
SUPPRIMEZ-LES MAINTENANTPour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.
Quel type de logiciel malveillant est MODBEACON RAT ?
MODBEACON est un cheval de Troie d'accès à distance (RAT) qui permet à un opérateur distant d'accéder secrètement à un ordinateur Windows infecté, d'exécuter des commandes et de charger des plugins supplémentaires tout en restant caché en mémoire.
Selon une étude publiée par le Qianxin Threat Intelligence Center, MODBEACON est utilisé dans une campagne que les chercheurs appellent « Operation Phnom Penh », menée par un acteur malveillant hybride suivi sous le nom de Silver Fox, également appelé « Ghost Distributor ».
Ce groupe combine la contrefaçon de logiciels à grande échelle avec des opérations plus ciblées, notamment des campagnes contre le secteur des jeux d'argent en ligne du Cambodge qui utilisent des appâts en langue khmère.
![]()
En savoir plus sur MODBEACON
MODBEACON est écrit en Rust et s'exécute entièrement en mémoire sur les systèmes Windows 64 bits, ce qui rend sa détection sur le disque plus difficile pour les outils antivirus. Une fois actif, il communique avec son serveur de commande et contrôle en utilisant gRPC transporté via HTTP/2, et l'ensemble du canal est enveloppé dans un chiffrement TLS, semblable au trafic web sécurisé normal.
Avant de recevoir des ordres, MODBEACON établit une empreinte de l'hôte, construisant un profil de la machine sur laquelle il a atterri, et s'authentifie auprès du serveur C2 avec un long jeton d'agent. Cela permet à l'opérateur de confirmer exactement à quelle victime il s'adresse et d'envoyer des instructions destinées à cet appareil spécifique.
Conception basée sur des plugins et commandes à distance
MODBEACON n'inclut pas toutes les capacités dès le départ. Il utilise plutôt une architecture basée sur des plugins, et ses opérateurs peuvent pousser des modules natifs supplémentaires en mémoire, les charger et les décharger une fois terminés.
Cela permet de garder le cœur du trojan petit tout en permettant à un attaquant d'ajouter de nouvelles fonctions à la demande, telles qu'une reconnaissance supplémentaire, un accès aux fichiers ou des charges utiles additionnelles. Le malware envoie également des rapports réguliers de battement de cœur et d'état, informant le serveur C2 que la machine infectée est en ligne et prête à recevoir de nouvelles commandes.
Persistance et évasion de la défense
Pour survivre à un redémarrage, MODBEACON met en place un abonnement à des événements WMI qui crée un objet minuterie caché, aux côtés de tâches planifiées et d'un service Windows, de sorte qu'au moins un mécanisme redémarre le malware si un autre est supprimé.
Il crée également un mutex global afin qu'une seule copie de lui-même s'exécute à la fois. Du côté réseau, MODBEACON déguise son trafic C2 en utilisant une couche de transport modelée sur des outils proxy anti-censure, faisant ressembler le trafic malveillant HTTP/2 et gRPC à un trafic chiffré légitime et l'aidant à passer à travers la détection basée sur le réseau.
| Nom | Cheval de Troie d'accès à distance MODBEACON |
| Type De Menace | Cheval de Troie d'accès à distance (RAT) |
| Noms De Détection | Avast (Win64:MalwareX-gen [Pws]), Combo Cleaner (Trojan.GenericKD.80662733), ESET-NOD32 (Win64/Kryptik.HEH Trojan), Kaspersky (Backdoor.Win64.Agentb.aq), Microsoft (Trojan:Win64/ModBeacon.RV!MTB), Liste Complète (VirusTotal) |
| Symptômes | Les chevaux de Troie d'accès à distance sont conçus pour infiltrer furtivement l'ordinateur de la victime et rester silencieux, de sorte qu'aucun symptôme particulier n'est clairement visible sur une machine infectée. |
| Méthodes De Distribution | Faux sites web, installateurs de logiciels malveillants. |
| Dommages | Mots de passe et informations bancaires volés, vol d'identité, ordinateur de la victime ajouté à un botnet, infections supplémentaires, perte financière, détournement de compte. |
| Domaines Contrefaits Associés | sogou-xp.com, sogou-pv.top, sogou-xp.top, sosou-win.top, lightninguxvpn.com.cn, xy-kuaimiao.com.cn, win-letstalk.com.cn, cn-mumu.com.cn, win-yifanyi.com.cn, winmumu.com.cn, i4as-cn.com.cn, lightningxanx.com.cn, cmumu.cn, kuaimiao-kv.com.cn, kuaimiao-vs.com.cn, lightninshanlian.com.cn |
|
Suppression des maliciels (Windows) |
Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. Téléchargez Combo CleanerUn scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk. |
Conclusion
MODBEACON donne à ses opérateurs un accès continu et caché à un ordinateur infecté, la capacité de pousser de nouveaux plugins à volonté, et un canal réseau conçu pour échapper à la surveillance de sécurité. Les ordinateurs infectés par ce RAT courent le risque de charges utiles supplémentaires, de vol de données et d'une surveillance secrète à long terme, il doit donc être supprimé dès qu'il est détecté.
D'autres exemples de RAT sont RemotePE, Navi, et Banana.
Comment MODBEACON RAT a-t-il infiltré mon ordinateur ?
Selon les recherches du Qianxin Threat Intelligence Center, MODBEACON est diffusé par le groupe Silver Fox, également appelé « Ghost Distributor », à l'aide de campagnes d'empoisonnement SEO qui placent de fausses pages de téléchargement de logiciels populaires sur le marché chinois en tête des résultats de recherche, de sorte que les victimes qui cherchent un programme légitime atterrissent plutôt sur un faux site.
Les pages contrefaites observées usurpent l'identité d'un large éventail d'outils du quotidien, notamment la méthode de saisie Sogou, des applications VPN vendues sous des noms tels que « 闪连VPN » et « 快喵VPN », l'application de messagerie Letstalk, l'émulateur Android MuMu, l'utilitaire de gestion iOS 爱思助手 (i4Tools), et même l'outil de bac à sable Sandboxie faussement étiqueté comme un programme de traduction. Chaque installateur fournit MODBEACON à la place, ou en plus, du logiciel annoncé.
Le même acteur a mené séparément des campagnes contre le secteur des jeux d'argent en ligne du Cambodge en utilisant des leurres de phishing en langue khmère, montrant que le groupe adapte son approche à différents groupes de victimes. Plus largement, des menaces comme MODBEACON atteignent également les victimes via des pièces jointes d'e-mails infectées, des publicités malveillantes et d'autres canaux de téléchargement non fiables.
Comment éviter l'installation de malware ?
Téléchargez toujours les logiciels directement depuis le site web officiel de l'éditeur plutôt que de faire confiance aux résultats des moteurs de recherche, car les pages empoisonnées par le SEO peuvent se classer au-dessus de la vraie page de téléchargement et lui ressembler presque à l'identique. Soyez prudent avec les pièces jointes et les liens inattendus des e-mails, et vérifiez deux fois le nom de domaine d'un site avant de télécharger quoi que ce soit.
Maintenez votre système d'exploitation et vos applications à jour, et fiez-vous à un outil de sécurité réputé plutôt que de supposer qu'un programme est sûr simplement parce qu'il est apparu en tête d'une recherche. Si vous pensez que votre ordinateur est déjà infecté, nous vous recommandons d'effectuer une analyse avec Combo Cleaner Antivirus pour Windows pour éliminer automatiquement le malware infiltré.
Faux sites web distribuant des installateurs malveillants contenant MODBEACON RAT :
Suppression automatique et instantanée des maliciels :
La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :
TÉLÉCHARGEZ Combo CleanerEn téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.
Menu rapide :
- Qu'est-ce que MODBEACON RAT ?
- ÉTAPE 1. Suppression manuelle du malware MODBEACON RAT.
- ÉTAPE 2. Vérifiez si votre ordinateur est propre.
Comment supprimer un malware manuellement ?
La suppression manuelle de malware est une tâche compliquée - il est généralement préférable de laisser les programmes antivirus ou anti-malware le faire automatiquement. Pour supprimer ce malware, nous recommandons d'utiliser Combo Cleaner Antivirus pour Windows.
Si vous souhaitez supprimer le malware manuellement, la première étape consiste à identifier le nom du malware que vous essayez de supprimer. Voici un exemple de programme suspect s'exécutant sur l'ordinateur d'un utilisateur :

Si vous avez vérifié la liste des programmes s'exécutant sur votre ordinateur, par exemple à l'aide du gestionnaire des tâches, et que vous avez identifié un programme qui semble suspect, vous devez poursuivre avec ces étapes :
Téléchargez un programme appelé Autoruns. Ce programme affiche les applications à démarrage automatique, le Registre et les emplacements du système de fichiers :

Redémarrez votre ordinateur en Mode sans échec :
Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en Mode sans échec. Cliquez sur Démarrer, cliquez sur Arrêter, cliquez sur Redémarrer, cliquez sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que vous voyiez le menu Options avancées de Windows, puis sélectionnez Mode sans échec avec prise en charge réseau dans la liste.

Vidéo montrant comment démarrer Windows 7 en « Mode sans échec avec prise en charge réseau » :
Utilisateurs de Windows 8 : Démarrez Windows 8 en Mode sans échec avec prise en charge réseau - Allez à l'écran de démarrage de Windows 8, tapez Avancé, dans les résultats de recherche sélectionnez Paramètres. Cliquez sur Options de démarrage avancées, dans la fenêtre « Paramètres généraux du PC » ouverte, sélectionnez Démarrage avancé.
Cliquez sur le bouton « Redémarrer maintenant ». Votre ordinateur va maintenant redémarrer dans le « menu Options de démarrage avancées ». Cliquez sur le bouton « Dépannage », puis cliquez sur le bouton « Options avancées ». Dans l'écran des options avancées, cliquez sur « Paramètres de démarrage ».
Cliquez sur le bouton « Redémarrer ». Votre PC redémarrera sur l'écran Paramètres de démarrage. Appuyez sur F5 pour démarrer en Mode sans échec avec prise en charge réseau.

Vidéo montrant comment démarrer Windows 8 en « Mode sans échec avec prise en charge réseau » :
Utilisateurs de Windows 10 : Cliquez sur le logo Windows et sélectionnez l'icône Alimentation. Dans le menu ouvert, cliquez sur « Redémarrer » tout en maintenant la touche « Maj » de votre clavier enfoncée. Dans la fenêtre « choisir une option », cliquez sur « Dépannage », puis sélectionnez « Options avancées ».
Dans le menu des options avancées, sélectionnez « Paramètres de démarrage » et cliquez sur le bouton « Redémarrer ». Dans la fenêtre suivante, vous devez cliquer sur le bouton « F5 » de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec prise en charge réseau.

Vidéo montrant comment démarrer Windows 10 en « Mode sans échec avec prise en charge réseau » :
Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.

Dans l'application Autoruns, cliquez sur « Options » en haut et décochez les options « Hide Empty Locations » et « Hide Windows Entries ». Après cette procédure, cliquez sur l'icône « Refresh ».

Vérifiez la liste fournie par l'application Autoruns et localisez le fichier de malware que vous souhaitez éliminer.
Vous devez noter son chemin complet et son nom. Notez que certains malwares cachent les noms de processus sous des noms de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer des fichiers système. Après avoir localisé le programme suspect que vous souhaitez supprimer, faites un clic droit sur son nom et choisissez « Delete ».

Après avoir supprimé le malware via l'application Autoruns (cela garantit que le malware ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du malware sur votre ordinateur. Assurez-vous d'activer les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom de fichier du malware, assurez-vous de le supprimer.

Redémarrez votre ordinateur en mode normal. Suivre ces étapes devrait supprimer tout malware de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne disposez pas de ces compétences, laissez la suppression du malware aux programmes antivirus et anti-malware.
Ces étapes pourraient ne pas fonctionner avec des infections de malware avancées. Comme toujours, il est préférable de prévenir l'infection plutôt que d'essayer de supprimer le malware plus tard. Pour garder votre ordinateur en sécurité, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus. Pour vous assurer que votre ordinateur est exempt d'infections de malware, nous recommandons de l'analyser avec Combo Cleaner Antivirus pour Windows.
Foire aux questions (FAQ)
Mon ordinateur est infecté par le malware MODBEACON RAT, dois-je formater mon périphérique de stockage pour m'en débarrasser ?
Le formatage supprimera MODBEACON RAT, mais il efface également tous les fichiers du lecteur. Un outil de sécurité réputé tel que Combo Cleaner devrait généralement être essayé en premier.
Quels sont les problèmes les plus importants que le malware MODBEACON RAT peut causer ?
MODBEACON RAT peut donner aux attaquants un accès à distance continu à votre ordinateur et leur permettre de charger des plugins malveillants supplémentaires à volonté. Cela peut entraîner un vol de données, des infections supplémentaires et une surveillance secrète à long terme.
Quel est le but du malware MODBEACON RAT ?
Le but de MODBEACON RAT est de donner à ses opérateurs un accès à distance secret et persistant aux ordinateurs Windows infectés afin qu'ils puissent émettre des commandes et charger des plugins supplémentaires tout en évitant la détection.
Comment le malware MODBEACON RAT a-t-il infiltré mon ordinateur ?
MODBEACON RAT a été distribué via de faux installateurs de logiciels populaires tels que des applications VPN, des méthodes de saisie, des émulateurs et des outils de gestion iOS, poussés vers les victimes via des résultats de recherche empoisonnés par le SEO.
Combo Cleaner me protégera-t-il contre les malwares ?
Oui. Combo Cleaner peut détecter et supprimer la plupart des malwares connus. Étant donné que des menaces comme MODBEACON RAT sont conçues pour se cacher profondément dans le système, il est recommandé d'exécuter une analyse complète du système pour s'assurer que rien n'est manqué.
Partager:
Tomas Meskauskas
Chercheur expert en sécurité, analyste professionnel en logiciels malveillants
Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne.
Le portail de sécurité PCrisk est proposé par la société RCS LT.
Des chercheurs en sécurité ont uni leurs forces pour sensibiliser les utilisateurs d'ordinateurs aux dernières menaces en matière de sécurité en ligne. Plus d'informations sur la société RCS LT.
Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.
Faire un donLe portail de sécurité PCrisk est proposé par la société RCS LT.
Des chercheurs en sécurité ont uni leurs forces pour sensibiliser les utilisateurs d'ordinateurs aux dernières menaces en matière de sécurité en ligne. Plus d'informations sur la société RCS LT.
Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.
Faire un don
▼ Montrer la discussion