Črv Kenety izkorišča napako programske opreme
Kenety poskuša izkoristiti ranljivost v priljubljeni aplikaciji, ki se širi z napadom na osebne računalnike prek ranljivosti v programski opremi RealVNC.
Ko onemogoči vgrajen požarni zid Windows, črv Kenety poskuša okužiti dodatne računalnike z izkoriščanjem ranljivosti v RealVNC. Če tega ne stori, se tudi boju ne bo odrekel, saj se bo poskušal povezati z RealVNC na podlagi vnaprej določenega seznama gesel.
Glavna grožnja črva je odpiranje zapornih vrat na okuženih računalnikih, prek katerih lahko napadalci izvedejo naslednja dejanja:
- posodobite črva
- naložite in zaženite datoteke
- Zaženite strežnik FTP.
Ko se črv Kenety zažene, izvede naslednja dejanja:
1. Ustvarite naslednjo datoteko:
% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe
2. Spremeni te registrske ključe:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S haredAccess \ Parameters \ FirewallPolicy \ StandardProfile \ Auth orizedApplications \ List ”% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe” = „% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe: svchost *: Omogočeno: sinhronizacija ”
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Share dAccess \ Parameters \ FirewallPolicy \ StandardProfile \ Authoriz edApplications \ List ”% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe” = “% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe: *: Omogočeno: sinhronizacija ”
To onemogoči vgrajen požarni zid Windows.
3. Ustvari storitev, imenovano Sinhronizacija.
4. Ustvari naslednje vnose v registracijski bazi:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S ysdate
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Sysda te
5. Odpre zadnjo stran prek vrat TCP 8888 in se nato poveže z oddaljenimi strežniki.
6. Čakanje na ukaze napadalcev.
7. RealVNC se poskuša razširiti z izkoriščanjem ene od ranljivosti pri preverjanju pristnosti. Če to ne uspe, se bo poskusil povezati z aplikacijami RealVNC na podlagi vnaprej določenega seznama gesel.