Válassza az Oldal lehetőséget

Szoftverhibát használ ki a Kenety féreg

Írta: | 2007. máj 15. | | 0 |

Szoftverhibát használ ki a Kenety féreg

A Kenety egy népszerű alkalmazás sérülékenységét igyekszik kihasználni a terjedésekor, ugyanis a RealVNC szoftver egyik biztonsági résén keresztül támadja a PC-ket.

A Kenety féreg a Windows beépített tűzfalának hatástalanítása után a RealVNC alkalmazás egyik sebezhetőségének kihasználásával igyekszik további számítógépeket megfertőzni. Amennyiben ez nem sikerül számára, akkor sem adja fel a küzdelmet, ugyanis egy előre meghatározott jelszólista alapján igyekszik kapcsolódni a RealVNC szoftverhez.

A féreg legfőbb veszélye, hogy egy hátsó kaput nyit a fertőzött számítógépeken, amelyen keresztül a támadók az alábbi műveleteket végezhetik el:
– a féreg frissítése
– fájlok letöltése, és futtatása
– FTP szerver indítása.

Amikor a Kenety féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
%ProgramFiles%\Common Files\Systemdata\svchost.exe

2. Módosítja a regisztrációs adatbázis következő kulcsait:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\S haredAccess\Parameters\FirewallPolicy\StandardProfile\Auth orizedApplications\List”%ProgramFiles%\Common Files\Systemdata\svchost.exe” = “%ProgramFiles%\Common Files\Systemdata\svchost.exe:*:Enabled:syncronization”

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Share dAccess\Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List”%ProgramFiles%\Common Files\Systemdata\svchost.exe” = “%ProgramFiles%\Common Files\Systemdata\svchost.exe:*:Enabled:syncronization”

Ezzel hatástalanítja a Windows beépített tűzfalát.

3. Létrehoz egy Sync nevű szolgáltatást.

4. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\S ysdate
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Sysda te

5. Nyit egy hátsó kaput a 8888-as TCP porton keresztül, majd távoli szerverekhez csatlakozik.

6. Várakozik a támadók parancsaira.

7. A RealVNC egyik hitelesítési sérülékenységét kihasználva megpróbál terjedni. Amennyiben ez nem sikerül, akkor egy előre meghatározott jelszólista alapján megpróbál a RealVNC alkalmazásokhoz csatlakozni.

Mérték:

A szerzőről

Csingacsguk

Kapcsolódó hozzászólások

IP címet minden világítótestnek!

IP címet minden világítótestnek!

2011-05-19

Itt az új Facebook, de kell ez nekünk?

Itt az új Facebook, de kell ez nekünk?

2020-01-27

Duke Nukem Forever: előzetes videó!

Duke Nukem Forever: előzetes videó!

2007-12-19

Mafia 2 – PhysX trailer (videóval)

Mafia 2 – PhysX trailer (videóval)

2010-05-27

banner

BuyBestGear

Hirdetés

ranvee

Ranvee háztartási gépek