Червь Kenety использует программную ошибку

Kenety стремится использовать уязвимость в популярном приложении по мере ее распространения, атакуя ПК через уязвимость в программном обеспечении RealVNC.

После отключения встроенного брандмауэра Windows червь Kenety пытается заразить дополнительные компьютеры, используя уязвимость в RealVNC. Если это не сработает для него, он не откажется от борьбы, поскольку он попытается подключиться к RealVNC на основе заранее определенного списка паролей.

Основная угроза червя - открытие на зараженных компьютерах бэкдора, через который злоумышленники могут выполнять следующие действия:
- обновить червяк
- скачивать и запускать файлы
- Запустить FTP-сервер.

При запуске червь Kenety выполняет следующие действия:

1. Создайте следующий файл:
% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe

2. Изменяет следующие разделы реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HaredAccess\Parameters\FirewallPolicy\StandardProfile\Auth orizedApplications\List»%ProgramFiles%\Common Files\Systemdata\svchost.exe» = «%ProgramFiles%\Common Files\Systemdata\svchost.exe: * :Включено:синхронизация»

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Share dAccess\Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List»%ProgramFiles%\Common Files\Systemdata\svchost.exe» = «%ProgramFiles%\Common Files\Systemdata\svchost.exe: *:Включено:синхронизация»

Это отключает встроенный брандмауэр Windows.

3. Создает службу под названием Sync.

4. Создает следующие записи в базе данных регистрации:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S ysdate
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Sysda te

5. Он открывает бэкдор через TCP-порт 8888, а затем подключается к удаленным серверам.

6. Жду приказов злоумышленников.

7. RealVNC пытается распространиться, используя одну из уязвимостей аутентификации. Если это не удается, он попытается подключиться к приложениям RealVNC на основе заранее определенного списка паролей.