Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 19 de abril de 2007

EL RETORNO DEL RINBOT
Se ha detectado una nueva versión del gusano Rinbot que hace unas semanas saltó a la palestra por infectar redes de la CNN aprovechando una vulnerabilidad del antivirus de Symantec. En esta nueva versión, además de las acciones habituales, el gusano aprovecha la vulnerabilidad RPC/DNS de Windows (aún no parcheada) con el objeto de propagarse y ejecutar código para convertir la máquina infectada en un zombie y formar así una botnet o red de máquinas dispuestas para ser controladas remotamente y lanzar ataques coordinados.

Hasta que se publique el correspondiente parche de Microsoft (si no se salen del ciclo habitual puede que se incluya en el boletín del 8 de Mayo) se recomienda deshabilitar la capacidad de control remoto sobre RPC de los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000, e incluso el 445 si no es necesario (ese puerto es el que se usa para el protocolo SMB que posibilita la compartición de recursos en redes Windows)

Fuente: SANS

0 comentarios:

Publicar un comentario