Crv Kenety iskorištava programsku grešku

Kenety nastoji iskoristiti ranjivost u popularnoj aplikaciji koja se širi napadajući računala kroz ranjivost u softveru RealVNC.

Nakon što je onemogućio ugrađeni Windows vatrozid, crv Kenety pokušava zaraziti dodatna računala iskorištavanjem ranjivosti u RealVNC-u. Ako mu to ne uspije, neće odustati od borbe jer će se pokušati povezati s RealVNC-om na temelju unaprijed definiranog popisa lozinki.

Glavna prijetnja crva je otvaranje backdoor-a na zaraženim računalima putem kojeg napadači mogu izvršiti sljedeće radnje:
- ažurirati crva
preuzimanje i pokretanje datoteka -
- Pokrenite FTP poslužitelj.

Kada se crv Kenety pokrene, on izvršava sljedeće radnje:

1. Stvorite sljedeću datoteku:
% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe

2. Izmjenjuje sljedeće ključeve registra:
Hkey_local_machine \ system \ currentControlset \ servis \ haredaccess \ parametri \ firewallPolicy \ standardProfile \ auth oritedApplications \ list "%Programfiles%\ Common Files \ SystemData \ svChost.exe \ SystemsE \ =%ProgramsESE \ =%SVCHOST.EXE \ SVCHOST.EX. :Omogućeno:sinkronizacija”

Hkey_local_machine \ system \ controlSet001 \ servis \ dijelite daccess \ parametri \ firewallPolicy \ standardProfile \ autoriz edapplications \ list "%ProgramFiles%\ Common Files \ SystemData \ svCost.exe \ SystemSe \ =%PROGRAMATSE \ =%SVCHOST. *:Omogućeno:sinkronizacija”

Ovo onemogućava ugrađeni Windows vatrozid.

3. Stvara uslugu koja se naziva Sinkronizacija.

4. Stvara sljedeće unose u registracijskoj bazi podataka:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S ysdate
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Sysda te

5. Otvara se backdoor kroz TCP port 8888, a zatim se povezuje s udaljenim poslužiteljima.

6. Čeka naredbe napadača.

7. RealVNC se pokušava proširiti iskorištavanjem jedne od ranjivosti za provjeru autentičnosti. Ako to ne uspije, pokušat će se povezati s RealVNC aplikacijama na temelju unaprijed definiranog popisa lozinki.