Červ Kenetyho využíva softvérovú chybu

Kenety sa pokúša využiť zraniteľnosť v populárnej aplikácii, pretože sa šíri útokom na počítače prostredníctvom zraniteľnosti v softvéri RealVNC.

Po vypnutí vstavaného firewallu systému Windows sa červ Kenety pokúša infikovať ďalšie počítače využitím chyby zabezpečenia v programe RealVNC. Ak to pre neho nebude fungovať, boj nevzdá, pretože sa pokúsi pripojiť k RealVNC na základe vopred definovaného zoznamu hesiel.

Hlavnou hrozbou červa je otvorenie zadných vrátok na infikovaných počítačoch, prostredníctvom ktorých môžu útočníci vykonávať nasledujúce akcie:
- aktualizovať červa
- sťahujte a spúšťajte súbory
- Spustite server FTP.

Keď sa červ Kenety spustí, vykoná nasledujúce akcie:

1. Vytvorte nasledujúci súbor:
% ProgramFiles% \ Common Files \ Systemdata \ svchost.exe

2. Upravuje nasledujúce kľúče databázy Registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HaredAccess\Parameters\FirewallPolicy\StandardProfile\Auth orizedApplications\List”%ProgramFiles%\Common Files\Systemdata\svchost.exe” = “%ProgramFiles%\svchost.exe: *data%\Common Files\System :Povolené:synchronizácia"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Share dAccess\Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List”%ProgramFiles%\Common Files\Systemdata\svchost.exe” = “%ProgramFiles\Systemchost.\svexe Files *:Povolené:synchronizácia"

Tým sa deaktivuje vstavaný firewall systému Windows.

3. Vytvorí službu s názvom Synchronizácia.

4. Vytvorí nasledujúce položky v registračnej databáze:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S ysdate
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Sysda te

5. Otvára zadné vrátka cez port TCP 8888 a potom sa pripája k vzdialeným serverom.

6. Čakanie na príkazy útočníkov.

7. RealVNC sa pokúša rozšíriť využitím jednej z chýb zabezpečenia autentifikácie. Ak sa to nepodarí, pokúsi sa pripojiť k aplikáciám RealVNC na základe preddefinovaného zoznamu hesiel.