Какво представлява троянският кон KONNI (08.15.25)

KONNI е троянец за отдалечен достъп (RAT), който е силно свързан със агенциите за разузнаване на Северна Корея. Изследователите на киберсигурността успяха да осъществят връзката, тъй като след успешното изпитание на междуконтинентална балистична ракета от Северна Корея през 2017 г. имаше скок в кампаниите за фишинг на копия, които се позовават на придобитите възможности на Северна Корея. Подобни кампании на KONNI се случиха през 2014 г. и те също доведоха до заключението, че KONNI е шпионско оръжие, създадено за всеки, който се интересува от въпросите на Северна Корея, особено нейните ядрени и балистични ракетни програми. Въпреки че не е ясно каква е целта на зловредния софтуер, може да се заключи, че става дума най-вече за профилиране на компютрите на заразените жертви, така че да се определи цел за по-продължителни атаки. Повечето цели на KONNI са базирани в Азиатско-тихоокеанския регион.

Какво прави троянският кон KONNI?

Злонамереният софтуер KONNI заразява основно компютъра чрез замърсен документ на Word, който достига до повечето от жертвите като прикачен файл към имейл.

Докато жертвите изтеглят файла, зловредният софтуер се зарежда във фонов режим, където изпълнява полезния си товар. След това KONNI започва основната си цел - разузнаване и събиране на информация. Той профилира мрежата от компютри на организацията, заснема екранни снимки, краде пароли, история на сърфиране в мрежата и обикновено храни за всяка информация, до която може да се добере. След това информацията се изпраща до команден и контролен център.

Зловредният софтуер е в състояние да направи това, като създаде директория на Windows под папката за локални настройки на текущия потребител със събитието MFAData \\. Той също така извлича два злонамерени DLL файла, един за 64-битова ОС и друг за 32-битова ОС. След това създава ключова стойност, наречена RTHDVCP или RTHDVCPE, по следния път на системния регистър: HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run.

Този път на системния регистър се използва за автоматично запазване, като се има предвид, че той ще стартира автоматично процес след успешно влизане. Така създадените DLL файлове имат няколко основни възможности, които включват регистриране на ключове, изброяване на хостове, събиране на разузнавателни данни, дефилтрация на данни и профилиране на хоста.

След това събраната информация се използва за създаване на атаки, които отговарят на профила на жертвата. Ако KONNI трябваше да зарази компютри с високопоставени цели като военни компютри на Южна Корея или финансова институция, хората, които стоят зад нея, могат да приспособяват специфични атаки, включително шпионски или рансъмуерни атаки.

Как да премахнем троянския кон KONNI компютърът ви е заразен, знаете ли какво да направите с троянския кон KONNI?

Най-простият начин за премахване на троянския кон KONNI е използването на надеждно анти-зловредно решение като Outbyte Antivirus . За да използвате анти-зловредния софтуер, трябва да стартирате компютъра си в безопасен режим, тъй като, както бе отбелязано по-рано, KONNI използва някои техники за автоматично запазване, включително манипулиране на елементите за автоматично стартиране, за да се включи. и 7 потребители, по-долу са описани стъпките, за да влезете в безопасен режим с работа в мрежа.

  • Отворете помощната програма Изпълнение , като натиснете Windows + R бутони на клавиатурата.
  • Напишете msconfig и изпълнете командата.
  • Отидете в раздела Стартиране и изберете Безопасно зареждане и Мрежови опции.
  • Рестартирайте устройството си.

    • След като устройството ви се рестартира, стартирайте анти-зловредния софтуер и му дайте достатъчно време да изтрие вируса.

    Ако нямате анти-зловреден софтуер, винаги има опция за ръчно проследяване на файловете и папките, които възпроизвеждат хост на вируса. Начинът да направите това е да отворите Task Manager , като натиснете клавишите Ctrl, Alt и Delete на клавиатурата си. В приложението Диспечер на задачите отидете в раздела Стартиране и потърсете подозрителни елементи при стартиране. Щракнете с десния бутон върху тях и изберете Отваряне на местоположението на файла . Сега отидете на местоположението на файла и изтрийте файловете и папките, като ги преместите в кошчето. Трябва да търсите папката за събития MFAData \\.

    Другото нещо, което ще трябва да направите, е да поправите счупени записи в системния регистър и да изтриете тези, които са свързани със зловредния софтуер KONNI. Най-лесният начин да направите това е да внедрите PC Cleaner, тъй като една от основните цели на инструмента за ремонт на компютър е да поправи счупени записи в системния регистър.

    Друга цел, която инструментът за ремонт на компютъра ще играе, е да изтрие всички нежелани файлове, бисквитки, истории на сърфиране, изтегляния и повечето данни, които троянски коне като KONNI изпращат на киберпрестъпници. С други думи, използването на почистващ препарат за компютър не само ще намали риска от повторна инфекция, но и ще гарантира, че дори ако друг зловреден софтуер е намерил път във вашето устройство, той няма да има много за кражба.

    Ако сте спазили инструкциите по-горе, има голяма вероятност да сте се справили категорично със заплахата от злонамерен софтуер и единственото нещо, което сега остава, е да се предпазите от бъдещи инфекции.

    Трябва да знаете, че зловредният софтуер субекти като KONNI заразяват компютри само ако жертвите са небрежни с начина, по който се справят с прикачени файлове от неизвестни изображения. Ако можете да вземете допълнителни предпазни мерки и да не изтеглите никакъв файл, който ви попадне, тогава значително ще намалите риска от инфекция.

    И накрая, трябва да поддържате компютъра си актуализиран възможно най-често. Субектите на зловреден софтуер като KONNI използват експлойти, които непрекъснато се закърпват от доставчици на софтуер, включително Microsoft.

    YouTube Video.: Какво представлява троянският кон KONNI

    08, 2025