选择页面

Kenety 蠕虫正在利用一个软件漏洞

撰文: | 2007 年 15 月 XNUMX 日 | | 0 |

Kenety 试图利用流行应用程序中的漏洞,因为它通过 RealVNC 软件中的漏洞攻击 PC 进行传播。

在禁用 Windows 的内置防火墙后,Kenety 蠕虫会尝试利用 RealVNC 中的漏洞感染其他计算机。 如果这对他不起作用,他不会放弃战斗,因为他将尝试根据预定义的密码列表连接到 RealVNC。

该蠕虫的主要威胁是在受感染的计算机上打开后门,攻击者可以通过后门执行以下操作:
- 更新蠕虫
- 下载并运行文件
- 启动 FTP 服务器。

当 Kenety 蠕虫启动时,它会执行以下操作:

1. 创建以下文件:
% ProgramFiles%\Common Files\Systemdata\svchost.exe

2. 修改以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HaredAccess\Parameters\FirewallPolicy\StandardProfile\Auth orizedApplications\List”%ProgramFiles%\Common Files\Systemdata\svchost.exe” = “%ProgramFiles%\Common Files\Systemdata\svchost.exe: * :启用:同步”

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Share dAccess\Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List”%ProgramFiles%\Common Files\Systemdata\svchost.exe”=“%ProgramFiles%\Common Files\Systemdata\svchost.exe: *:启用:同步”

这将禁用内置的 Windows 防火墙。

3. 创建一个名为 Sync 的服务。

4. 在注册数据库中创建以下条目:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sysdate
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Sysdata

5. 它通过 TCP 端口 8888 打开一个后门,然后连接到远程服务器。

6. 等待攻击者的命令。

7. RealVNC 正试图通过利用身份验证漏洞之一进行传播。 如果失败,它将尝试根据预定义的密码列表连接到 RealVNC 应用程序。

阅读: 1 829

措施:

关于作者

辛加奇古克

相关文章

Cyber​​ Security Pro for ESET Macintosh 和新版 Cyber​​ Security 正在测试中

Cyber​​ Security Pro for ESET Macintosh 和新版 Cyber​​ Security 正在测试中

2012-04-25

所有人都被英雄联盟嗅到了

所有人都被英雄联盟嗅到了

2014-01-31

Hannuch 蠕虫是 Windows 的一个技巧

Hannuch 蠕虫是 Windows 的一个技巧

2008-09-18

在 Windows Vista 上运行 GT Legends

在 Windows Vista 上运行 GT Legends

2008-06-05

旗帜

购买BestGear

广告

兰维

兰维家电