Що таке троян KONNI (08.15.25)

KONNI - це троян віддаленого доступу (RAT), який тісно пов’язаний з агенціями розвідки Північної Кореї. Дослідники кібербезпеки змогли встановити зв’язок, оскільки після успішного випробування Північної Кореї міжконтинентальної балістичної ракети в 2017 році відбувся сплеск фішингових кампаній, що стосуються набутих можливостей КНДР. Подібні кампанії KONNI відбулися в 2014 році, і вони також привели до висновку, що KONNI - це шпигунська зброя, створена для всіх, хто цікавиться питаннями Північної Кореї, особливо її ядерними та балістичними ракетними програмами. Хоча незрозуміло, в чому полягає мета зловмисного програмного забезпечення, можна зробити висновок, що мова йде переважно про профілювання комп’ютерів заражених жертв з метою визначення цілі для більш стійких атак. Більшість цілей KONNI базується в Азіатсько-Тихоокеанському регіоні.

Що робить троянець KONNI?

Шкідливе програмне забезпечення KONNI заражає комп'ютер переважно через заражений документ Word, який потрапляє до більшості жертв як вкладення електронної пошти.

Поки жертви завантажують файл, шкідливе програмне забезпечення завантажується у фоновому режимі виконує своє корисне навантаження. Потім KONNI починає свою головну мету - розвідку та збір інформації. Він профілює мережу комп’ютерів організації, робить знімки екрана, краде паролі, історію веб-перегляду та, як правило, корми для будь-якої інформації, до якої може потрапити. Потім інформація надсилається до центру управління та управління.

Шкідливе програмне забезпечення може це зробити, створивши каталог Windows у папці локальних налаштувань поточного користувача із подією MFAData \\. Він також витягує два шкідливі файли DLL, один для 64-розрядної ОС та інший для 32-розрядної ОС. Після цього він створює значення ключа, яке називається RTHDVCP або RTHDVCPE, у такому шляху реєстру: HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run.

Цей шлях реєстру використовується для автоматичного збереження, враховуючи, що він буде автоматично запускати процес після успішного входу. Створені таким чином файли DLL мають декілька основних можливостей, що включають кейлоггінг, перерахування хостів, збір інформації, вилучення даних та профілювання хостів.

Потім зібрана інформація використовується для створення атак, які відповідають профілю жертви. Якби KONNI заразив комп’ютери гучних цілей, таких як військові комп’ютери Південної Кореї чи фінансова установа, люди, які стоять за цим, можуть адаптувати конкретні атаки, включаючи шпигунські або атаки-вимагателі.

Як видалити троянця KONNI ваш комп’ютер заражений, чи знаєте ви, що робити з трояном KONNI?

Найпростіший спосіб видалення троянця KONNI - це використання надійного антивірусного рішення, такого як Outbyte Antivirus . Щоб використовувати анти-зловмисне програмне забезпечення, вам потрібно запустити свій ПК у безпечному режимі, оскільки, як зазначалось раніше, KONNI використовує деякі методи автоматичного збереження, включаючи маніпулювання елементами автозапуску, щоб включити себе.

Для Windows 10 та 7 користувачів, наступні кроки для переходу в безпечний режим з мережею.

  • Відкрийте утиліту Запуск , натиснувши Windows + R клавіші на клавіатурі.
  • Введіть msconfig і запустіть команду.
  • Перейдіть на вкладку Завантаження та виберіть Безпечне завантаження та Мережеві варіанти.
  • Перезапустіть пристрій.

    • Після перезапуску пристрою запустіть анти-зловмисне програмне забезпечення і дайте йому достатньо часу для видалення вірусу. p>

    Якщо у вас немає анти-зловмисного програмного забезпечення, завжди є можливість вручну відстежити файли та папки, які відтворюють вірус. Для цього потрібно відкрити диспетчер завдань , натиснувши клавіші Ctrl, Alt та Delete на клавіатурі. У програмі Диспетчер завдань перейдіть на вкладку Запуск і знайдіть підозрілі елементи запуску. Клацніть правою кнопкою миші та виберіть Відкрити розташування файлу . Тепер перейдіть до розташування файлу та видаліть файли та папки, перемістивши їх у кошик. Вам слід шукати папку подій MFAData \\.

    Інше, що вам потрібно буде зробити, це відновити непрацездатні записи реєстру та видалити ті, які пов’язані зі шкідливим програмним забезпеченням KONNI. Найпростіший спосіб зробити це - розгорнути засіб для очищення ПК, оскільки однією з основних цілей інструмента для відновлення ПК є відновлення непрацюючих записів реєстру.

    Ще однією метою, яку буде відтворювати засіб для відновлення ПК, є видалення будь-яких небажаних файлів, файлів cookie, історії перегляду, завантажень та більшості даних, які троянські програми, такі як KONNI, надсилають кіберзлочинцям. Іншими словами, використання засобу для очищення ПК не тільки зменшить ризик повторного зараження, але й переконається, що навіть якщо інше шкідливе програмне забезпечення потрапить у ваш пристрій, воно не зможе багато вкрасти.

    Якщо ви дотримувались наведених вище вказівок, існує велика ймовірність, що ви прямо впоралися із загрозою зловмисного програмного забезпечення, і єдине, що зараз залишається, це захист від майбутніх інфекцій.

    Ви повинні знати, що зловмисне програмне забезпечення такі організації, як KONNI, заражають комп'ютери лише в тому випадку, якщо жертви недбало ставляться до того, як вони обробляють вкладення від невідомих img. Якщо ви зможете вжити додаткових запобіжних заходів і не завантажувати будь-який файл, який потрапляє вам, тоді ви значно зменшите ризик зараження.

    Нарешті, вам потрібно регулярно оновлювати комп’ютер. Шкідливі програми, такі як KONNI, використовують експлойти, які постійно виправляються постачальниками програмного забезпечення, включаючи Microsoft.

    Відео YouTube: Що таке троян KONNI

    08, 2025