Robak Kenety wykorzystuje błąd oprogramowania
Kenety stara się wykorzystać lukę w popularnej aplikacji, która rozprzestrzenia się, atakując komputery za pomocą luki w oprogramowaniu RealVNC.
Po wyłączeniu wbudowanej zapory systemu Windows robak Kenety próbuje zainfekować dodatkowe komputery, wykorzystując lukę w RealVNC. Jeśli to nie zadziała, nie podda się, ponieważ będzie próbował połączyć się z RealVNC na podstawie predefiniowanej listy haseł.
Głównym zagrożeniem robaka jest otwieranie tylnych drzwi na zainfekowanych komputerach, za pośrednictwem których atakujący mogą wykonać następujące czynności:
- zaktualizuj robaka
- pobieraj i uruchamiaj pliki
- Uruchom serwer FTP.
Po uruchomieniu robak Kenety wykonuje następujące czynności:
1. Utwórz następujący plik:
% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe
2. Modyfikuje następujące klucze rejestru:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \ StandardProfile \ Auth orizedApplications \ List ”% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe” = „% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe: *: Włączone: synchronizacja ”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Usługi\Share dAccess\Parameters\FirewallPolicy\StandardProfile\Autoryzacja edApplications\List ”%ProgramFiles%\Common Files\Systemdata\svchost.exe”=„%ProgramFiles%\Common Files\Systemdata\svchost.exe: *: Włączone: synchronizacja ”
Spowoduje to wyłączenie wbudowanej zapory systemu Windows.
3. Tworzy usługę o nazwie Sync.
4. Tworzy następujące wpisy w bazie danych rejestracji:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Usługi \ Sysdate
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Usługi\Systemy
5. Otwiera tylne drzwi przez port TCP 8888, a następnie łączy się ze zdalnymi serwerami.
6. Czekam na rozkazy napastników.
7. RealVNC próbuje się rozprzestrzeniać, wykorzystując jedną z luk w uwierzytelnianiu. Jeśli to się nie powiedzie, spróbuje połączyć się z aplikacjami RealVNC na podstawie wstępnie zdefiniowanej listy haseł.