Что такое троян KONNI (08.15.25)

KONNI - это троян для удаленного доступа (RAT), прочно связанный с северокорейскими спецслужбами. Исследователи кибербезопасности смогли установить связь, потому что после успешного испытания Северной Кореей межконтинентальной баллистической ракеты в 2017 году произошел всплеск целевых фишинговых кампаний, связанных с приобретенными Северной Кореей возможностями. Подобные кампании KONNI произошли в 2014 году, и они тоже привели к выводу, что KONNI - это шпионское оружие, созданное для всех, кто интересуется делами Северной Кореи, особенно ее ядерной программой и программами баллистических ракет. Хотя неясно, какова цель вредоносного ПО, можно сделать вывод, что в основном это профилирование компьютеров зараженных жертв, чтобы определить цель для более устойчивых атак. Большинство целей KONNI находятся в Азиатско-Тихоокеанском регионе.

Чем занимается троян KONNI?

Вредоносная программа KONNI в основном заражает компьютер через зараженный документ Word, который доходит до большинства жертв в виде вложения электронной почты.

Пока жертвы загружают файл, вредоносное ПО загружается в фоновом режиме, откуда оно загружается. выполняет свою полезную нагрузку. Затем KONNI приступает к своей основной цели - разведке и сбору информации. Он профилирует компьютерную сеть организации, делает снимки экрана, крадет пароли, историю просмотра веб-страниц и, как правило, собирает любую информацию, которую он может получить. Затем информация отправляется в центр управления и контроля.

Вредоносная программа может сделать это, создав каталог Windows в локальной папке настроек текущего пользователя с путем MFAData \\ event. Он также извлекает два вредоносных файла DLL: один для 64-разрядной ОС, а другой - для 32-разрядной ОС. После этого он создает значение ключа под названием RTHDVCP или RTHDVCPE по следующему пути реестра: HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run.

Этот путь реестра используется для автосохранения, поскольку он автоматически запускает процесс после успешного входа в систему. Создаваемые таким образом файлы DLL имеют несколько основных возможностей, включая ведение кейлоггеров, перечисление хостов, сбор информации, кражу данных и профилирование хостов.

Собранная информация затем используется для создания атак, соответствующих профилю жертвы. Если KONNI заразит компьютеры высокопоставленных целей, таких как военные компьютеры Южной Кореи или финансовое учреждение, люди, стоящие за ним, могут спланировать конкретные атаки, включая шпионские или вымогатели.

Как удалить троян KONNI

Предположим ваш компьютер заражен, знаете ли вы, что делать с троянцем KONNI?

Самый простой способ удалить троян KONNI - использовать надежное решение для защиты от вредоносных программ, например Outbyte Antivirus . Чтобы использовать антивирусную программу, вы должны запустить свой компьютер в безопасном режиме, потому что, как отмечалось ранее, KONNI использует некоторые методы автосохранения, в том числе манипулирует элементами автозапуска для включения самого себя.

Для Windows 10 и 7 пользователей, выполните следующие действия, чтобы перейти в безопасный режим с загрузкой сетевых драйверов.

  • Откройте служебную программу Выполнить , нажав Windows + R . клавиши на клавиатуре.
  • Введите msconfig и выполните команду.
  • Перейдите на вкладку Загрузка и выберите Безопасная загрузка и Параметры Сеть .
  • Перезагрузите устройство.

    • После перезагрузки устройства запустите антивирус и дайте ему достаточно времени, чтобы удалить вирус.

    Если у вас нет антивирусной программы, всегда есть возможность вручную отследить файлы и папки, в которых размещен вирус. Для этого откройте Диспетчер задач , нажав клавиши Ctrl, Alt и Удалить на клавиатуре. В приложении "Диспетчер задач" перейдите на вкладку Автозагрузка и найдите все подозрительные элементы автозагрузки. Щелкните их правой кнопкой мыши и выберите Открыть расположение файла . Теперь перейдите в расположение файла и удалите файлы и папки, переместив их в корзину. Вам следует искать папку MFAData \\ event.

    Еще вам нужно будет восстановить поврежденные записи реестра и удалить те, которые связаны с вредоносным ПО KONNI. Самый простой способ сделать это - развернуть PC Cleaner, поскольку одна из основных задач инструмента для ремонта ПК - восстановить поврежденные записи реестра.

    Еще одна цель, которую выполняет инструмент для восстановления ПК, - это удаление любых ненужных файлов, файлов cookie, истории просмотров, загрузок и большей части данных, которые трояны, такие как KONNI, отправляют киберпреступникам. Другими словами, использование очистителя ПК не только снизит риск повторного заражения, но также гарантирует, что даже если другое вредоносное ПО все-таки проникнет на ваше устройство, ему нечего будет украсть.

    Если вы следовали приведенным выше инструкциям, высока вероятность того, что вы решительно справились с угрозой вредоносного ПО, и единственное, что теперь остается, - это защитить от будущих заражений.

    Вы должны знать это вредоносное ПО такие сущности, как KONNI, заражают компьютеры только в том случае, если жертвы неосторожно обращаются с вложениями из неизвестных imgs. Если вы примете особые меры предосторожности и не загрузите файлы, которые попадутся вам на пути, то вы значительно снизите риск заражения.

    Наконец, вам нужно как можно чаще обновлять компьютер. Вредоносные программы, такие как KONNI, используют эксплойты, которые постоянно исправляются поставщиками программного обеспечения, включая Microsoft.

    YouTube видео: Что такое троян KONNI

    08, 2025