Новый троян для IE отправляет данные с помощью ICMP

Необычного троянца обнаружили в Сети исследователи компании Websense. Троянец отправляет краденую информацию не традиционными способами, уязвимыми для брандмауэров – по электронной почте или HTTP пакетами - а через «невинный» протокол ICMP (Internet Control Message Protocol), который используется в технологии ping – проверке работоспособности и времени отклика удаленных компьютеров путем обмена пробными пакетами.

Троянец, которому еще не присвоили имя, устанавливается в систему как вспомогательный объект браузера Internet Explorer (Browser Helper Object, BHO), и ждет, когда пользователь зайдет на определенные сайты, в основном, банковские. Затем вредоносный код перехватывает пароли, другую конфиденциальную информацию, и отправляет их удаленному хакеру. Данные, перенаправляющиеся с помощью ICMP, достаточно примитивно шифруются алгоритмом XOR («исключающее "или"»).

В Websense проверили работоспособность нового троянца, заразив им тестовый компьютер и введя данные в форму на сайте Deutsche Bank, использующем защищенный протокол SSL. Как и ожидалось, троянец перехватил информацию, и передал ее через ICMP на удаленный сервер.

cnews.ru