Червеят Kenety използва софтуерна грешка
Kenety се стреми да използва уязвимост в популярно приложение, докато се разпространява, като атакува компютри чрез уязвимост в софтуера RealVNC.
След като деактивира вградената защитна стена на Windows, червеят Kenety се опитва да зарази допълнителни компютри, като използва уязвимост в RealVNC. Ако това не работи за него, той няма да се откаже от битката, тъй като ще се опита да се свърже с RealVNC въз основа на предварително зададен списък с пароли.
Основната заплаха на червея е да отвори задната врата на заразени компютри, чрез която нападателите могат да извършват следните действия:
- актуализиране на червея -
изтегляне и стартиране на файлове -
- Стартирайте FTP сървър.
Когато червеят Kenety стартира, той извършва следните действия:
1. Създайте следния файл:
% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe
2. Променя следните ключове на системния регистър:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S haredAccess \ Parameters \ FirewallPolicy \ StandardProfile \ Auth orizedApplications \ List ”% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe” = „% ProgramFiles% \ Common Files \ Systemdata \ sv *: Активирано: синхронизация ”
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Share dAccess \ Parameters \ FirewallPolicy \ StandardProfile \ Authoriz edApplications \ List ”% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe” = “% ProgramFiles% \ Common Files \ Systemdata \ svchost.ex *: Активирано: синхронизация ”
Това деактивира вградената защитна стена на Windows.
3. Създава услуга, наречена Sync.
4. Създава следните записи в базата данни за регистрация:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S ysdate
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Sysda te
5. Той отваря задната врата през TCP порт 8888 и след това се свързва с отдалечени сървъри.
6. В очакване на заповедите на нападателите.
7. RealVNC се опитва да се разпространи, като използва една от уязвимостите при удостоверяване. Ако това не успее, той ще се опита да се свърже с приложения на RealVNC въз основа на предварително дефиниран списък с пароли.
