ANTICHAT — форум по информационной безопасности, OSINT и технологиям

В интернете обнаружена троянская программа, использующая протокол ICMP, и маскирующаяся под объект браузера Internet Explorer.

Необычного троянца обнаружили в Сети исследователи компании Websense. Троянец отправляет краденую информацию не традиционными способами, уязвимыми для брандмауэров – по электронной почте или пакетами HTTP - а через «невинный» протокол ICMP (Internet Control Message Protocol), который используется в технологии ping – проверке работоспособности и времени отклика удаленных компьютеров путем обмена пробными пакетами.

Троянец, которому еще не присвоили имя, устанавливается в систему как вспомогательный объект браузера Internet Explorer (Browser Helper Object, BHO), и ждет, когда пользователь зайдет на определенные сайты, в основном, банковские. Затем вредоносный код перехватывает пароли, другую конфиденциальную информацию, и отправляет их удаленному хакеру. Данные, перенаправляющиеся с помощью ICMP, достаточно примитивно шифруются алгоритмом XOR («исключающее "или"»).

В Websense проверили работоспособность нового троянца, заразив им тестовый компьютер и введя данные в форму на сайте Deutsche Bank, использующем защищенный протокол SSL. Как и ожидалось, троянец перехватил информацию, и передал ее через ICMP на удаленный сервер. "Действительно, отправка трояном данных по протоколу ICMP возможна, при этом для персонального межсетевого экрана данные пакеты, скорее всего, выглядят как пакеты, исходящие от Internet Explorer'a, - коментирует консультант по информационной безопасности отдела консалтинга компании «ДиалогНаука» Данил Мисоченко. - Данный экземпляр вредоносного кода действительно может представлять значительную опасность для пользователей сети интернет. Проблема серьезна и актуальна, в первую очередь, для тех пользователей, кто нерегулярно обновляет или не использует современное антивирусное программное обеспечение, способное отразить данное вредоносное ПО".