Was ist der KONNI-Trojaner? (08.15.25)

KONNI ist ein Remote-Access-Trojaner (RAT), der eng mit nordkoreanischen Geheimdiensten in Verbindung gebracht wird. Cybersicherheitsforscher konnten die Verbindung herstellen, weil nach dem erfolgreichen Test einer interkontinentalen ballistischen Rakete durch Nordkorea 2017 ein Anstieg der Spear-Phishing-Kampagnen mit Verweis auf die erworbenen Fähigkeiten Nordkoreas zu verzeichnen war. Ähnliche KONNI-Kampagnen fanden 2014 statt und führten ebenfalls zu dem Schluss, dass KONNI eine Spionagewaffe ist, die für jeden entwickelt wurde, der sich für nordkoreanische Angelegenheiten interessiert, insbesondere für seine Nuklear- und ballistischen Raketenprogramme. Obwohl nicht klar ist, was das Ziel der Malware ist, kann man daraus schließen, dass es hauptsächlich darum geht, die Computer infizierter Opfer zu profilieren, um ein Ziel für anhaltendere Angriffe zu identifizieren. Die meisten Ziele von KONNI befinden sich im asiatisch-pazifischen Raum.

Was macht der KONNI-Trojaner?

Die KONNI-Malware infiziert den Computer hauptsächlich über ein verseuchtes Word-Dokument, das die meisten ihrer Opfer als E-Mail-Anhang erreicht.

Während die Opfer die Datei herunterladen, wird die Malware im Hintergrund geladen, wo sie führt seine Nutzlast aus. KONNI beginnt dann sein Hauptziel der Aufklärung und Informationsbeschaffung. Es erstellt ein Profil des Computernetzwerks einer Organisation, erfasst Screenshots, stiehlt Passwörter, den Browserverlauf und sucht im Allgemeinen nach Informationen, die es in die Hände bekommen kann. Die Informationen werden dann an ein Kommando- und Kontrollzentrum gesendet.

Die Malware kann dies tun, indem sie im lokalen Einstellungsordner des aktuellen Benutzers ein Windows-Verzeichnis mit dem Pfad MFAData\\event erstellt. Es extrahiert auch zwei bösartige DLL-Dateien, eine für 64-Bit-Betriebssysteme und eine andere für 32-Bit-Betriebssysteme. Anschließend erstellt es einen Schlüsselwert namens RTHDVCP oder RTHDVCPE im folgenden Registrierungspfad: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run.

Dieser Registrierungspfad wird für die automatische Persistenz verwendet, da nach erfolgreicher Anmeldung ein Prozess automatisch gestartet wird. Die so erstellten DLL-Dateien verfügen über mehrere Kernfunktionen, darunter Keylogging, Host-Aufzählung, Informationssammlung, Datenexfiltration und Host-Profiling.

Die gesammelten Informationen werden dann verwendet, um Angriffe zu erstellen, die dem Profil des Opfers entsprechen. Wenn KONNI Computer hochkarätiger Ziele wie südkoreanische Militärcomputer oder ein Finanzinstitut infizieren würde, könnten die dahinter stehenden Personen spezifische Angriffe wie Spionage- oder Ransomware-Angriffe anpassen Ihr Computer wurde infiziert, wissen Sie, was Sie mit dem KONNI-Trojaner tun können?

Der einfachste Weg, den KONNI-Trojaner zu entfernen, ist die Verwendung einer zuverlässigen Anti-Malware-Lösung wie Outbyte Antivirus. Um die Anti-Malware zu verwenden, müssen Sie Ihren PC im abgesicherten Modus ausführen, da KONNI, wie bereits erwähnt, einige Auto-Persistenz-Techniken verwendet, einschließlich der Manipulation der Autostart-Elemente, um sich selbst einzuschließen.

Für Windows 10 und 7-Benutzern sind die folgenden Schritte erforderlich, um in den abgesicherten Modus mit Netzwerktreibern zu gelangen.

  • Öffnen Sie das Dienstprogramm Ausführen , indem Sie Windows + R . drücken Tasten auf Ihrer Tastatur.
  • Geben Sie msconfig ein und führen Sie den Befehl aus.
  • Gehen Sie zum Tab Boot und wählen Sie Safe Boot und Netzwerkoptionen.
  • Starten Sie Ihr Gerät neu.

    • Starten Sie nach dem Neustart Ihres Geräts die Anti-Malware und geben Sie ihm genügend Zeit, um den Virus zu löschen. p>

    Wenn Sie keine Anti-Malware haben, haben Sie immer die Möglichkeit, die Dateien und Ordner, die den Virus hosten, manuell aufzuspüren. Öffnen Sie dazu den Task-Manager, indem Sie die Tasten Strg, Alt und Entf auf Ihrer Tastatur drücken. Gehen Sie in der Task-Manager-App zum Tab Start und suchen Sie nach verdächtigen Startobjekten. Klicken Sie mit der rechten Maustaste darauf und wählen Sie Dateispeicherort öffnen. Gehen Sie nun zum Dateispeicherort und löschen Sie die Dateien und Ordner, indem Sie sie in den Papierkorb verschieben. Sie sollten nach dem Ordner MFAData\\Ereignis suchen.

    Das andere, was Sie tun müssen, ist, beschädigte Registrierungseinträge zu reparieren und diejenigen zu löschen, die mit der KONNI-Malware verbunden sind. Der einfachste Weg, dies zu tun, besteht darin, einen PC Cleaner bereitzustellen, da eines der Hauptziele des PC-Reparaturtools darin besteht, beschädigte Registrierungseinträge zu reparieren.

    Ein weiterer Zweck des PC-Reparaturtools besteht darin, alle Junk-Dateien, Cookies, Browserverläufe, Downloads und die meisten Daten zu löschen, die Trojaner wie KONNI an Cyberkriminelle senden. Mit anderen Worten, die Verwendung eines PC-Reinigers verringert nicht nur das Risiko einer erneuten Infektion, sondern stellt auch sicher, dass selbst wenn eine andere Malware in Ihr Gerät gelangt ist, diese nicht viel zu stehlen hat.

    Wenn Sie die obigen Anweisungen befolgt haben, besteht eine hohe Wahrscheinlichkeit, dass Sie sich der Malware-Bedrohung gestellt haben und das Einzige, was jetzt noch bleibt, ist der Schutz vor zukünftigen Infektionen.

    Sie müssen wissen, dass Malware Entitäten wie KONNI infizieren Computer nur dann, wenn die Opfer unvorsichtig damit umgehen, wie sie mit Anhängen von unbekannten Bildern umgehen. Wenn Sie zusätzliche Vorsichtsmaßnahmen treffen und keine Datei herunterladen, die Ihnen in den Weg kommt, verringern Sie das Infektionsrisiko erheblich.

    Zu guter Letzt müssen Sie Ihren Computer so oft wie möglich auf dem neuesten Stand halten. Malware-Entitäten wie KONNI verwenden Exploits, die ständig von Softwareanbietern wie Microsoft gepatcht werden.

    YouTube-Video.: Was ist der KONNI-Trojaner?

    08, 2025