Blogantivirus

Se ha detectado una nueva versión del gusano Rinbot que hace unas semanas saltó a la palestra por infectar redes de la CNN aprovechando una vulnerabilidad del antivirus de Symantec. En esta nueva versión, además de las acciones habituales, el gusano aprovecha la vulnerabilidad RPC/DNS de Windows (aún no parcheada) con el objeto de propagarse y ejecutar código para convertir la máquina infectada en un zombie y formar así una botnet o red de máquinas dispuestas para ser controladas remotamente y lanzar ataques coordinados.

Hasta que se publique el correspondiente parche de Microsoft (si no se salen del ciclo habitual puede que se incluya en el boletín del 8 de Mayo) se recomienda deshabilitar la capacidad de control remoto sobre RPC de los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000, e incluso el 445 si no es necesario (ese puerto es el que se usa para el protocolo SMB que posibilita la compartición de recursos en redes Windows)

Fuente: SANS