MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

19.4.07

EL RETORNO DEL RINBOT
Se ha detectado una nueva versión del gusano Rinbot que hace unas semanas saltó a la palestra por infectar redes de la CNN aprovechando una vulnerabilidad del antivirus de Symantec. En esta nueva versión, además de las acciones habituales, el gusano aprovecha la vulnerabilidad RPC/DNS de Windows (aún no parcheada) con el objeto de propagarse y ejecutar código para convertir la máquina infectada en un zombie y formar así una botnet o red de máquinas dispuestas para ser controladas remotamente y lanzar ataques coordinados.

Hasta que se publique el correspondiente parche de Microsoft (si no se salen del ciclo habitual puede que se incluya en el boletín del 8 de Mayo) se recomienda deshabilitar la capacidad de control remoto sobre RPC de los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000, e incluso el 445 si no es necesario (ese puerto es el que se usa para el protocolo SMB que posibilita la compartición de recursos en redes Windows)

Fuente: SANS

0 comentarios: