Szoftverhibát használ ki a Kenety féreg
A Kenety egy népszerű alkalmazás sérülékenységét igyekszik kihasználni a terjedésekor, ugyanis a RealVNC szoftver egyik biztonsági résén keresztül támadja a PC-ket.
A Kenety féreg a Windows beépített tűzfalának hatástalanítása után a RealVNC alkalmazás egyik sebezhetőségének kihasználásával igyekszik további számítógépeket megfertőzni. Amennyiben ez nem sikerül számára, akkor sem adja fel a küzdelmet, ugyanis egy előre meghatározott jelszólista alapján igyekszik kapcsolódni a RealVNC szoftverhez.
A féreg legfőbb veszélye, hogy egy hátsó kaput nyit a fertőzött számítógépeken, amelyen keresztül a támadók az alábbi műveleteket végezhetik el:
– a féreg frissítése
– fájlok letöltése, és futtatása
– FTP szerver indítása.
Amikor a Kenety féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlt:
%ProgramFiles%\Common Files\Systemdata\svchost.exe
2. Módosítja a regisztrációs adatbázis következő kulcsait:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\S haredAccess\Parameters\FirewallPolicy\StandardProfile\Auth orizedApplications\List”%ProgramFiles%\Common Files\Systemdata\svchost.exe” = “%ProgramFiles%\Common Files\Systemdata\svchost.exe:*:Enabled:syncronization”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Share dAccess\Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List”%ProgramFiles%\Common Files\Systemdata\svchost.exe” = “%ProgramFiles%\Common Files\Systemdata\svchost.exe:*:Enabled:syncronization”
Ezzel hatástalanítja a Windows beépített tűzfalát.
3. Létrehoz egy Sync nevű szolgáltatást.
4. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\S ysdate
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Sysda te
5. Nyit egy hátsó kaput a 8888-as TCP porton keresztül, majd távoli szerverekhez csatlakozik.
6. Várakozik a támadók parancsaira.
7. A RealVNC egyik hitelesítési sérülékenységét kihasználva megpróbál terjedni. Amennyiben ez nem sikerül, akkor egy előre meghatározott jelszólista alapján megpróbál a RealVNC alkalmazásokhoz csatlakozni.