Ce este troianul KONNI (08.15.25)

KONNI este un troian de acces la distanță (RAT) care este puternic asociat cu agențiile de informații nord-coreene. Cercetătorii în materie de securitate cibernetică au reușit să stabilească conexiunea, deoarece în urma testului de succes realizat în 2017 de o rachetă balistică intercontinentală de către Coreea de Nord, a existat o creștere a campaniilor de spear phishing referitoare la capacitățile dobândite ale Coreei de Nord. Campanii similare KONNI s-au întâmplat în 2014 și au dus la concluzia că KONNI este o armă de spionaj creată pentru oricine este interesat de afacerile nord-coreene, în special programele sale de rachete nucleare și balistice. Deși nu este clar care este obiectivul malware-ului, se poate concluziona că este vorba mai ales de profilarea computerelor victimelor infectate, astfel încât să se identifice o țintă pentru atacuri mai susținute. Majoritatea țintelor KONNI se află în regiunea Asia Pacific.

Ce face troianul KONNI?

Programul malware KONNI infectează în principal computerul printr-un document Word contaminat care ajunge la majoritatea victimelor sale ca atașament de e-mail.

În timp ce victimele descarcă fișierul, malware-ul este încărcat în fundal unde este își execută sarcina utilă. KONNI își începe apoi obiectivul principal de recunoaștere și colectare de informații. Profilează rețeaua de computere a unei organizații, captează capturi de ecran, fură parole, istoricul navigării pe web și, în general, caută orice informații pe care le poate pune la dispoziție. Informațiile sunt apoi trimise la un centru de comandă și control.

Programul malware poate face acest lucru creând un director Windows în folderul de setări locale al utilizatorului curent cu calea MFAData \\ eveniment. De asemenea, extrage două fișiere DLL dăunătoare, unul pentru sistemul de operare pe 64 de biți și altul pentru sistemul de operare pe 32 de biți. După aceasta, creează o valoare cheie numită RTHDVCP sau RTHDVCPE pe următoarea cale de registry: HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run.

Această cale de registry este utilizată pentru auto-persistență, dat fiind că va porni automat un proces după autentificarea cu succes. Fișierele DLL care sunt astfel create au mai multe capabilități de bază, care includ keylogging, enumerarea gazdei, colectarea informațiilor, exfiltrarea datelor și profilarea gazdei.

Informațiile colectate sunt apoi utilizate pentru a crea atacuri care se potrivesc profilului victimei. Dacă KONNI ar infecta computere cu ținte de profil înalt, cum ar fi computerele militare din Coreea de Sud sau o instituție financiară, oamenii din spatele acesteia pot adapta atacuri specifice, inclusiv atacuri de spionaj sau ransomware.

Cum să eliminați troianul KONNI

computerul dvs. a fost infectat, știți ce să faceți cu troianul KONNI?

Cel mai simplu mod de a elimina troianul KONNI este de a utiliza o soluție anti-malware de încredere, cum ar fi Outbyte Antivirus . Pentru a utiliza programul anti-malware, trebuie să rulați computerul în modul sigur, deoarece, așa cum s-a menționat anterior, KONNI folosește câteva tehnici de auto-persistență, inclusiv manipularea elementelor de pornire automată pentru a se include.

Pentru Windows 10 și 7 utilizatori, următorii sunt pașii de urmat pentru a intra în modul sigur cu rețea.

  • Deschideți utilitarul Rulați apăsând pe Windows + R tastele de pe tastatură.
  • Tastați msconfig și executați comanda.
  • Accesați fila Boot și selectați Boot sigur și Opțiuni Rețea .
  • Reporniți dispozitivul.

    • Odată ce dispozitivul repornește, lansați anti-malware și acordați-i suficient timp pentru a șterge virusul.

    Dacă nu aveți un program anti-malware, există întotdeauna opțiunea de a urmări manual fișierele și folderele care joacă gazda virusului. Modul de a face acest lucru este să deschideți Task Manager apăsând tastele Ctrl, Alt și Șterge de pe tastatură. În aplicația Manager activități, accesați fila Pornire și căutați orice element de pornire suspect. Faceți clic dreapta pe ele și selectați Deschideți locația fișierului . Acum, accesați locația fișierului și ștergeți fișierele și folderele mutându-le în Coșul de reciclare. Ar trebui să căutați folderul evenimentului MFAData \\.

    Celălalt lucru pe care va trebui să-l faceți este să reparați intrările de registru defecte și să le ștergeți pe cele care sunt asociate cu malware-ul KONNI. Cel mai simplu mod de a face acest lucru este să implementați un PC Cleaner, deoarece unul dintre principalele obiective ale instrumentului de reparare a computerului este de a repara intrările de registru defecte.

    Un alt scop pe care îl va juca instrumentul de reparare a computerului este de a șterge orice fișiere nedorite, cookie-uri, istoricele de navigare, descărcări și majoritatea datelor pe care troienii, cum ar fi KONNI le trimit infractorilor cibernetici. Cu alte cuvinte, utilizarea unui dispozitiv de curățare a computerului nu numai că va reduce riscul de re-infectare, dar va asigura, de asemenea, că, chiar dacă un alt malware ar fi găsit drumul în dispozitivul dvs., nu ar avea multe de furat. > Dacă ați urmat instrucțiunile de mai sus, există șanse mari să vă confruntați cu amenințarea malware-ului și singurul lucru care rămâne acum este să vă protejați împotriva infecțiilor viitoare.

    Trebuie să știți că malware-ul respectiv entități precum KONNI infectează computerele numai dacă victimele sunt neglijente cu modul în care gestionează atașamentele din imagini necunoscute. Dacă puteți lua măsuri de precauție suplimentare și nu descărcați niciun fișier care vă vine în cale, atunci veți reduce foarte mult riscul de infecție.

    În cele din urmă, trebuie să vă mențineți computerul actualizat cât mai des posibil. Entitățile malware cum ar fi KONNI utilizează exploit-uri care sunt în mod constant reparate de către furnizorii de software, inclusiv Microsoft.

    Video YouTube.: Ce este troianul KONNI

    08, 2025