Црв Кенети користи софтверску грешку

Кенети покушава да искористи рањивост у популарној апликацији која се шири нападајући рачунаре кроз рањивост у софтверу РеалВНЦ.

Након што је онемогућио уграђени Виндовс заштитни зид, црв Кенети покушава да зарази додатне рачунаре искоришћавањем рањивости у РеалВНЦ. Ако му то не успе, неће одустати, јер ће покушати да се повеже са РеалВНЦ на основу унапред дефинисане листе лозинки.

Главна претња црва је отварање бацкдоор-а на зараженим рачунарима путем којег нападачи могу извршити следеће радње:
- ажурирај црва
- преузмите и покрените датотеке
- Покрените ФТП сервер.

Када се црв Кенети покрене, он врши следеће радње:

1. Направите следећу датотеку:
% ПрограмФилес% \ Цоммон Филес \ Системдата \ свцхост.еке

2. Мења следеће кључеве регистра:
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ\СИСТЕМ\ЦуррентЦонтролСет\Сервицес\ХаредАццесс\Параметерс\ФиреваллПолици\СтандардПрофиле\Аутх оризедАпплицатионс\Лист"%ПрограмФилес%\Цоммон Филес\Системдата\свцхост%Программост.еке" : * :Омогућено:синхронизација”

ХКЕИ_ЛОЦАЛ_МАЦХИНЕ\СИСТЕМ\ЦонтролСет001\Сервицес\Схаре дАццесс\Параметерс\ФиреваллПолици\СтандардПрофиле\Аутхориз едАпплицатионс\Лист”%ПрограмФилес%\Цоммон Филес\Системдата\свцхост” =\Свцхост%Свцхост. .еке: *:Омогућено:синхронизација”

Ово онемогућава уграђени Виндовс заштитни зид.

3. Ствара услугу која се зове Синхронизација.

4. Ствара следеће уносе у бази података за регистрацију:
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СИСТЕМ \ ЦуррентЦонтролСет \ Сервицес \ С исдате
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СИСТЕМ \ ЦонтролСет001 \ Сервицес \ Сисда те

5. Отвара бацкдоор кроз ТЦП порт 8888, а затим се повезује са удаљеним серверима.

6. Чека се команде нападача.

7. РеалВНЦ покушава да се шири експлоатацијом једне од рањивости за потврду идентитета. Ако ово не успе, покушаће да се повеже са РеалВНЦ апликацијама на основу унапред дефинисане листе лозинки.