Trojan KONNI là gì (08.15.25)

KONNI là Trojan Truy cập Từ xa (RAT) được liên kết chặt chẽ với các cơ quan thông minh của Triều Tiên. Các nhà nghiên cứu an ninh mạng đã có thể kết nối vì sau vụ thử thành công tên lửa đạn đạo xuyên lục địa năm 2017 của Triều Tiên, đã có sự gia tăng đột biến trong các chiến dịch lừa đảo liên quan đến khả năng có được của Triều Tiên. Các chiến dịch KONNI tương tự đã xảy ra vào năm 2014 và chúng cũng dẫn đến kết luận rằng KONNI là một vũ khí gián điệp được tạo ra cho bất kỳ ai quan tâm đến các vấn đề của Triều Tiên, đặc biệt là các chương trình hạt nhân và tên lửa đạn đạo của nước này. Mặc dù không rõ mục tiêu của phần mềm độc hại là gì, nhưng người ta có thể kết luận rằng nó chủ yếu là về việc lập hồ sơ máy tính của các nạn nhân bị nhiễm để xác định mục tiêu cho các cuộc tấn công bền vững hơn. Hầu hết các mục tiêu của KONNI đều có trụ sở tại khu vực Châu Á Thái Bình Dương.

Trojan KONNI làm gì?

Phần mềm độc hại KONNI chủ yếu lây nhiễm vào máy tính thông qua tài liệu Word bị ô nhiễm. Phần mềm độc hại này tiếp cận hầu hết nạn nhân dưới dạng tệp đính kèm email.

Trong khi nạn nhân đang tải xuống tệp, phần mềm độc hại sẽ được tải trong nền nơi nó thực thi tải trọng của nó. KONNI sau đó bắt đầu mục tiêu chính là trinh sát và thu thập thông tin. Nó lập hồ sơ mạng máy tính của một tổ chức, chụp ảnh màn hình, đánh cắp mật khẩu, lịch sử duyệt web và thường tìm kiếm bất kỳ thông tin nào mà nó có thể sử dụng. Sau đó, thông tin được gửi đến trung tâm chỉ huy và điều khiển.

Phần mềm độc hại có thể thực hiện việc này bằng cách tạo thư mục Windows trong thư mục cài đặt cục bộ của người dùng hiện tại với đường dẫn sự kiện MFAData \\. Nó cũng trích xuất hai tệp DLL độc hại, một cho hệ điều hành 64-bit và một cho hệ điều hành 32-bit. Sau đó, nó tạo một giá trị khóa có tên RTHDVCP hoặc RTHDVCPE trên đường dẫn đăng ký sau: HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run.

Đường dẫn đăng ký này được sử dụng để tự động duy trì, với điều kiện là nó sẽ tự động khởi động quá trình sau khi đăng nhập thành công. Do đó, các tệp DLL được tạo ra có một số khả năng chính bao gồm ghi khóa, liệt kê máy chủ, thu thập thông tin tình báo, lọc dữ liệu và lập hồ sơ máy chủ.

Sau đó, thông tin thu thập được sẽ được sử dụng để tạo ra các cuộc tấn công phù hợp với hồ sơ của nạn nhân. Nếu KONNI lây nhiễm vào máy tính của các mục tiêu cao cấp, chẳng hạn như máy tính quân sự của Hàn Quốc hoặc một tổ chức tài chính, những kẻ đứng sau nó có thể điều chỉnh các cuộc tấn công cụ thể bao gồm cả các cuộc tấn công gián điệp hoặc ransomware.

Cách loại bỏ KONNI Trojan

Giả sử máy tính của bạn đã bị nhiễm virus, bạn có biết phải làm gì với Trojan KONNI không?

Cách đơn giản nhất để xóa KONNI Trojan là sử dụng giải pháp chống phần mềm độc hại đáng tin cậy như Outbyte Antivirus . Để sử dụng phần mềm chống phần mềm độc hại, bạn phải chạy PC của mình ở Chế độ An toàn vì như đã lưu ý trước đó, KONNI sử dụng một số kỹ thuật tự động duy trì, bao gồm thao tác các mục tự khởi động để đưa vào chính nó.

Đối với Windows 10 và 7 người dùng, sau đây là các bước cần thực hiện để vào Chế độ an toàn với mạng.

  • Mở tiện ích Run bằng cách nhấn Windows + R trên bàn phím của bạn.
  • Nhập msconfig và chạy lệnh.
  • Đi tới tab Khởi động và chọn Khởi động an toàn và Tùy chọn Mạng .
  • Khởi động lại thiết bị của bạn.

    • Sau khi thiết bị của bạn khởi động lại, hãy khởi chạy chương trình chống phần mềm độc hại và cho nó đủ thời gian để xóa vi-rút.

    Nếu bạn không có phần mềm chống phần mềm độc hại, luôn có tùy chọn để theo dõi thủ công các tệp và thư mục có vai trò lưu trữ vi rút. Cách thực hiện việc này là mở Trình quản lý tác vụ bằng cách nhấn các phím Ctrl, Alt Delete trên bàn phím của bạn. Trên ứng dụng Trình quản lý tác vụ, hãy chuyển đến tab Khởi động và tìm bất kỳ mục Khởi động đáng ngờ nào. Nhấp chuột phải vào chúng và chọn Mở vị trí tệp . Bây giờ, hãy chuyển đến vị trí tệp và xóa các tệp và thư mục bằng cách chuyển chúng vào Thùng rác. Bạn nên tìm thư mục sự kiện MFAData \\.

    Việc khác bạn cần làm là sửa chữa các mục đăng ký bị hỏng và xóa những mục có liên quan đến phần mềm độc hại KONNI. Cách dễ nhất để làm điều này là triển khai PC Cleaner vì một trong những mục tiêu chính của công cụ sửa chữa PC là sửa chữa các mục đăng ký bị hỏng.

    Một mục đích khác mà công cụ sửa chữa PC sẽ thực hiện là xóa mọi tệp rác, cookie, lịch sử duyệt web, tải xuống và hầu hết dữ liệu mà Trojan như KONNI gửi cho tội phạm mạng. Nói cách khác, việc sử dụng trình dọn dẹp PC sẽ không chỉ giảm nguy cơ tái nhiễm mà còn đảm bảo rằng ngay cả khi phần mềm độc hại khác tìm thấy đường vào thiết bị của bạn, nó sẽ không có nhiều thứ để ăn cắp.

    Nếu bạn đã làm theo các hướng dẫn ở trên, thì khả năng cao là bạn đã đối phó được với mối đe dọa từ phần mềm độc hại và điều duy nhất bây giờ còn lại là bảo vệ khỏi sự lây nhiễm trong tương lai.

    Bạn phải biết rằng phần mềm độc hại các thực thể như KONNI chỉ lây nhiễm vào máy tính nếu nạn nhân bất cẩn với cách họ xử lý các tệp đính kèm từ các tệp tin không xác định. Nếu bạn có thể đề phòng thêm và không tải xuống bất kỳ tệp nào theo cách của bạn, thì bạn sẽ giảm đáng kể nguy cơ lây nhiễm.

    Cuối cùng, bạn cần cập nhật máy tính của mình thường xuyên nhất có thể. Các thực thể phần mềm độc hại như KONNI sử dụng các phần mềm khai thác liên tục được vá bởi các nhà cung cấp phần mềm bao gồm cả Microsoft.

    Video youtube.: Trojan KONNI là gì

    08, 2025