Què és el troià KONNI (08.15.25)

KONNI és un troià d'accés remot (RAT) que està fortament associat a les agències d'intel·ligència nord-coreanes. Els investigadors de ciberseguretat van poder establir la connexió, ja que després de l’èxit de la prova d’un míssil balístic intercontinental realitzat el 2017 per Corea del Nord, hi va haver un augment de les campanyes de phear spear que feien referència a les capacitats adquirides de Corea del Nord. Campanyes similars de KONNI van passar el 2014 i també van portar a la conclusió que KONNI és una arma d’espionatge creada per a qualsevol persona interessada en assumptes de Corea del Nord, especialment els seus programes de míssils nuclears i balístics. Tot i que no està clar quin és l'objectiu del programari maliciós, es pot concloure que es tracta principalment de perfilar els ordinadors de les víctimes infectades per tal d'identificar un objectiu per a atacs més sostinguts. La majoria dels objectius de KONNI es basen a la regió Àsia-Pacífic.

Què fa el troià KONNI?

El programari maliciós KONNI infecta principalment l’ordinador a través d’un document Word contaminat que arriba a la majoria de les seves víctimes com a fitxer adjunt de correu electrònic.

Mentre les víctimes descarreguen el fitxer, el programari maliciós es carrega al fons on es troba executa la seva càrrega útil. KONNI comença llavors el seu principal objectiu de reconeixement i recopilació d'informació. Perfila la xarxa d’ordinadors d’una organització, captura captures de pantalla, roba contrasenyes, historial de navegació web i, generalment, busca qualsevol informació que pugui aconseguir. La informació s'envia a un centre d'ordres i control.

El programari maliciós pot fer-ho creant un directori de Windows a la carpeta de configuració local de l'usuari actual amb el camí d'accés MFAData \\. També extreu dos fitxers DLL maliciosos, un per a sistemes operatius de 64 bits i un altre per a sistemes operatius de 32 bits. Després, crea un valor clau anomenat RTHDVCP o RTHDVCPE al camí d'accés del registre següent: HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run.

Aquest camí de registre s'utilitza per a la persistència automàtica, ja que s'iniciarà automàticament un procés després d'iniciar la sessió amb èxit. Els fitxers DLL que es creen així tenen diverses funcions bàsiques que inclouen registre de claus, enumeració d’amfitrions, recopilació d’intel·ligència, filtració de dades i perfils d’amfitrions.

La informació recopilada s’utilitza per crear atacs que s’adaptin al perfil de la víctima. Si KONNI infectés equips d’objectius de gran perfil, com ara equips militars de Corea del Sud o una institució financera, les persones que hi ha darrere poden adaptar-se a atacs específics, inclosos atacs d’espionatge o de ransomware.

Com eliminar el troià KONNI

Suposant el vostre equip ha estat infectat, sabeu què fer amb el troià KONNI?

La forma més senzilla d’eliminar el troià KONNI és fer servir una solució antimalware fiable, com ara Outbyte Antivirus . Per utilitzar l'anti-malware, heu d'executar el vostre PC en mode segur perquè, com es va assenyalar anteriorment, KONNI utilitza algunes tècniques de persistència automàtica, inclosa la manipulació dels elements d'inici automàtic per incloure's.

Per a Windows 10 i 7 usuaris, a continuació es detallen els passos a seguir per accedir al mode segur amb xarxes.

  • Obriu la utilitat Executa prement el botó Windows + R tecles del teclat.
  • Escriviu msconfig i executeu l'ordre.
  • Aneu a la pestanya Arrenca i seleccioneu Arrencada segura i Opcions de Xarxa .
  • Reinicieu el dispositiu.

    • Un cop el dispositiu es reiniciï, inicieu l'anti-malware i doneu-li prou temps per suprimir el virus.

    Si no teniu cap programa antimalware, sempre hi ha l'opció de fer un seguiment manual dels fitxers i carpetes que reprodueixen l'amfitrió del virus. La manera de fer-ho és obrir el Gestor de tasques prement les tecles Ctrl, Alt i Suprimeix del teclat. A l'aplicació Administrador de tasques, aneu a la pestanya Inici i cerqueu qualsevol element d'inici sospitós. Feu-hi clic amb el botó dret i seleccioneu Obre la ubicació del fitxer . Ara aneu a la ubicació del fitxer i suprimiu els fitxers i les carpetes movent-los a la paperera de reciclatge. Hauríeu de cercar la carpeta d'esdeveniments MFAData \\.

    L'altra cosa que heu de fer és reparar les entrades del registre trencades i suprimir les que estiguin associades al programari maliciós de KONNI. La manera més senzilla de fer-ho és desplegar un netejador de PC, ja que un dels objectius principals de l'eina de reparació de PC és reparar entrades de registre fallides.

    Un altre propòsit de l’eina de reparació de PC és suprimir qualsevol fitxer brossa, galetes, historial de navegació, descàrregues i la majoria de les dades que els troians com KONNI envien als ciberdelinqüents. Dit d’una altra manera, l’ús d’un netejador de PC no només reduirà el risc de tornar a infectar-se, sinó que també s’assegurarà que, fins i tot si un altre programa maliciós trobés el seu dispositiu, no tindria molt per robar.

    Si heu seguit les instruccions anteriors, hi ha moltes probabilitats que hàgiu tractat directament l'amenaça de programari maliciós i l'únic que queda ara és protegir-vos contra futures infeccions.

    Heu de saber que el programari maliciós entitats com KONNI només infecten els ordinadors si les víctimes no tenen cura de com manegen fitxers adjunts d’imatges desconegudes. Si teniu més precaució i no descarregueu cap fitxer que us convingui, reduirà molt el risc d'infecció.

    Per últim, heu de mantenir l'ordinador actualitzat el més sovint possible. Les entitats de programari maliciós com KONNI utilitzen exploits que són constantment reparats per proveïdors de programari, inclòs Microsoft.

    Vídeo de YouTube: Què és el troià KONNI

    08, 2025