Válassza az Oldal lehetőséget

Szoftverhibát használ ki a Kenety féreg

Szoftverhibát használ ki a Kenety féreg

A Kenety egy népszerű alkalmazás sérülékenységét igyekszik kihasználni a terjedésekor, ugyanis a RealVNC szoftver egyik biztonsági résén keresztül támadja a PC-ket.

A Kenety féreg a Windows beépített tűzfalának hatástalanítása után a RealVNC alkalmazás egyik sebezhetőségének kihasználásával igyekszik további számítógépeket megfertőzni. Amennyiben ez nem sikerül számára, akkor sem adja fel a küzdelmet, ugyanis egy előre meghatározott jelszólista alapján igyekszik kapcsolódni a RealVNC szoftverhez.

A féreg legfőbb veszélye, hogy egy hátsó kaput nyit a fertőzött számítógépeken, amelyen keresztül a támadók az alábbi műveleteket végezhetik el:
– a féreg frissítése
– fájlok letöltése, és futtatása
– FTP szerver indítása.

Amikor a Kenety féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
%ProgramFiles%\Common Files\Systemdata\svchost.exe

2. Módosítja a regisztrációs adatbázis következő kulcsait:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\S haredAccess\Parameters\FirewallPolicy\StandardProfile\Auth orizedApplications\List”%ProgramFiles%\Common Files\Systemdata\svchost.exe” = “%ProgramFiles%\Common Files\Systemdata\svchost.exe:*:Enabled:syncronization”

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Share dAccess\Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List”%ProgramFiles%\Common Files\Systemdata\svchost.exe” = “%ProgramFiles%\Common Files\Systemdata\svchost.exe:*:Enabled:syncronization”

Ezzel hatástalanítja a Windows beépített tűzfalát.

3. Létrehoz egy Sync nevű szolgáltatást.

4. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\S ysdate
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Sysda te

5. Nyit egy hátsó kaput a 8888-as TCP porton keresztül, majd távoli szerverekhez csatlakozik.

6. Várakozik a támadók parancsaira.

7. A RealVNC egyik hitelesítési sérülékenységét kihasználva megpróbál terjedni. Amennyiben ez nem sikerül, akkor egy előre meghatározott jelszólista alapján megpróbál a RealVNC alkalmazásokhoz csatlakozni.

A szerzőről