Co to jest trojan KONNI (08.15.25)

KONNI to trojan zdalnego dostępu (RAT), który jest silnie powiązany z północnokoreańskimi agencjami wywiadowczymi. Badacze cyberbezpieczeństwa byli w stanie nawiązać połączenie, ponieważ po udanym teście międzykontynentalnej rakiety balistycznej w 2017 r. przez Koreę Północną nastąpił gwałtowny wzrost kampanii phishingu włócznią, które odnoszą się do nabytych zdolności Korei Północnej. Podobne kampanie KONNI miały miejsce w 2014 roku i również doprowadziły do ​​wniosku, że KONNI jest bronią szpiegowską stworzoną dla każdego, kto jest zainteresowany sprawami Korei Północnej, zwłaszcza jej programami nuklearnymi i balistycznymi. Chociaż nie jest jasne, jaki jest cel tego szkodliwego oprogramowania, można stwierdzić, że chodzi głównie o profilowanie komputerów zainfekowanych ofiar w celu zidentyfikowania celu bardziej długotrwałych ataków. Większość celów KONNI znajduje się w regionie Azji i Pacyfiku.

Co robi trojan KONNI?

Złośliwe oprogramowanie KONNI infekuje komputer głównie za pośrednictwem skażonego dokumentu Word, który dociera do większości ofiar jako załącznik do wiadomości e-mail.

Podczas pobierania pliku przez ofiary złośliwe oprogramowanie jest ładowane w tle, gdzie jest wykonuje swój ładunek. KONNI rozpoczyna następnie swój główny cel, jakim jest rozpoznanie i zbieranie informacji. Profiluje sieć komputerów organizacji, przechwytuje zrzuty ekranu, kradnie hasła, historię przeglądania sieci i ogólnie wyszukuje wszelkie informacje, które może zdobyć. Informacje są następnie wysyłane do centrum dowodzenia i kontroli.

Złośliwe oprogramowanie jest w stanie to zrobić, tworząc katalog Windows w folderze ustawień lokalnych bieżącego użytkownika ze ścieżką MFAData\\event. Wyodrębnia również dwa złośliwe pliki DLL, jeden dla 64-bitowego systemu operacyjnego, a drugi dla 32-bitowego systemu operacyjnego. Następnie tworzy wartość klucza o nazwie RTHDVCP lub RTHDVCPE w następującej ścieżce rejestru: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run.

Ta ścieżka rejestru jest używana do automatycznego utrwalania, ponieważ spowoduje automatyczne uruchomienie procesu po pomyślnym zalogowaniu. Tworzone w ten sposób pliki DLL mają kilka podstawowych funkcji, które obejmują rejestrowanie klawiszy, wyliczanie hostów, zbieranie danych wywiadowczych, eksfiltrację danych i profilowanie hostów.

Zgromadzone informacje są następnie wykorzystywane do tworzenia ataków, które pasują do profilu ofiary. Jeśli KONNI miałoby zainfekować komputery głośnych celów, takich jak komputery wojskowe Korei Południowej lub instytucje finansowe, stojące za nim ludzie mogą dostosować konkretne ataki, w tym ataki szpiegowskie lub ransomware.

Jak usunąć trojana KONNI

Zakładając, że Twój komputer został zainfekowany, czy wiesz, co zrobić z trojanem KONNI?

Najprostszym sposobem na usunięcie trojana KONNI jest użycie niezawodnego rozwiązania antywirusowego, takiego jak Outbyte Antivirus. Aby korzystać z oprogramowania antywirusowego, musisz uruchomić komputer w trybie awaryjnym, ponieważ, jak wcześniej wspomniano, KONNI używa niektórych technik autoutrwalania, w tym manipulowania elementami autostartu, aby się włączyły.

Dla systemu Windows 10 i 7 użytkowników, oto kroki, które należy wykonać, aby przejść do trybu awaryjnego z obsługą sieci.

  • Otwórz narzędzie Uruchom , naciskając Windows + R klawiszy na klawiaturze.
  • Wpisz msconfig i uruchom polecenie.
  • Przejdź do karty Uruchom i wybierz Bezpieczny rozruch i Opcje sieciowe.
  • Uruchom ponownie urządzenie.

    • Po ponownym uruchomieniu urządzenia uruchom program anty-malware i daj mu wystarczająco dużo czasu na usunięcie wirusa.

    Jeśli nie masz programu chroniącego przed złośliwym oprogramowaniem, zawsze istnieje możliwość ręcznego wyśledzenia plików i folderów, które są hostem wirusa. Aby to zrobić, otwórz Menedżera zadań, naciskając klawisze Ctrl, Alt i Usuń na klawiaturze. W aplikacji Menedżer zadań przejdź do karty Uruchamianie i poszukaj podejrzanych elementów startowych. Kliknij je prawym przyciskiem myszy i wybierz Otwórz lokalizację pliku. Teraz przejdź do lokalizacji pliku i usuń pliki i foldery, przenosząc je do Kosza. Powinieneś poszukać folderu MFAData\\event.

    Inną rzeczą, którą musisz zrobić, to naprawić uszkodzone wpisy rejestru i usunąć te, które są powiązane ze złośliwym oprogramowaniem KONNI. Najprostszym sposobem na to jest wdrożenie PC Cleaner, ponieważ jednym z głównych celów narzędzia do naprawy komputera jest naprawa uszkodzonych wpisów rejestru.

    Innym celem, jaki będzie odgrywać narzędzie do naprawy komputera, jest usunięcie wszelkich niepotrzebnych plików, plików cookie, historii przeglądania, pobrań i większości danych, które trojany takie jak KONNI wysyłają cyberprzestępcom. Innymi słowy, użycie narzędzia do czyszczenia komputera nie tylko zmniejszy ryzyko ponownej infekcji, ale także zapewni, że nawet jeśli inne złośliwe oprogramowanie znajdzie drogę do Twojego urządzenia, nie będzie miało wiele do kradzieży.

    Jeśli postępowałeś zgodnie z powyższymi instrukcjami, istnieje duża szansa, że ​​rozprawiłeś się z zagrożeniem złośliwym oprogramowaniem, a jedyne, co teraz pozostaje, to ochrona przed przyszłymi infekcjami.

    Musisz wiedzieć, że złośliwe oprogramowanie podmioty takie jak KONNI infekują komputery tylko wtedy, gdy ofiary nie dbają o to, jak radzą sobie z załącznikami z nieznanych obrazów. Jeśli możesz podjąć dodatkowe środki ostrożności i nie pobierać żadnego pliku, który pojawi się na twojej drodze, znacznie zmniejszysz ryzyko infekcji.

    Na koniec musisz aktualizować komputer tak często, jak to możliwe. Złośliwe oprogramowanie, takie jak KONNI, wykorzystuje exploity, które są stale łatane przez dostawców oprogramowania, w tym Microsoft.

    Wideo YouTube.: Co to jest trojan KONNI

    08, 2025