Softwarovou chybu využívá červ Kenety

Kenety se pokouší využít zranitelnost v populární aplikaci, protože se šíří útokem na počítače prostřednictvím zranitelnosti v softwaru RealVNC.

Po deaktivaci vestavěné brány firewall systému Windows se červ Kenety pokusí infikovat další počítače využitím chyby zabezpečení v RealVNC. Pokud mu to nepůjde, boj nevzdá, protože se pokusí připojit k RealVNC na základě předdefinovaného seznamu hesel.

Hlavní hrozbou červa je otevřít na infikovaných počítačích zadní vrátka, pomocí kterých mohou útočníci provádět následující akce:
- aktualizovat červa
- stahovat a spouštět soubory
- Spusťte server FTP.

Když červ Kenety spustí, provede následující akce:

1. Vytvořte následující soubor:
% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe

2. Upravuje následující klíče registru:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S haredAccess \ Parameters \ FirewallPolicy \ StandardProfile \ Auth orizedApplications \ List "% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe" = "% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe: *: Povoleno: synchronizace “

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Share dAccess \ Parameters \ FirewallPolicy \ StandardProfile \ Authoriz edApplications \ List ”% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe” = „% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe: *: Povoleno: synchronizace “

Tím se zakáže integrovaná brána Windows Firewall.

3. Vytvoří službu s názvem Sync.

4. Vytvoří následující záznamy v registrační databázi:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S ysdate
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Sysda te

5. Otevírá zadní vrátka přes TCP port 8888 a poté se připojuje ke vzdáleným serverům.

6. Čekání na příkazy od útočníků.

7. RealVNC se pokouší rozšířit využitím jedné z chyb zabezpečení. Pokud se to nepodaří, pokusí se připojit k aplikacím RealVNC na základě předdefinovaného seznamu hesel.