Эксперты американской компании Websense
обнаружили новую троянскую программу,
которая пересылает хакерам похищенные
данные через несвойственный для
вредоносных программ протокол и таким
образом не позволяет себя обнаружить.
Троянец, у которого пока нет названия,
передает украденную информацию через
протокол управления сообщениями Internet (ICMP), а
не через почтовые протоколы и HTTP, как это
обычно делают другие вредоносные программы.
После заражения компьютера троянец
устанавливает себя в систему под видом BHO —
плагина для браузера. Далее программа
ожидает момента, в которой пользователь
вводит какие-нибудь важные данные (например,
пароль). Троянец перехватывает введенные
данные и отправляет их организаторам атаки.
Используя алгоритм шифрования XOR, троянец
кодирует перехваченные данные и передает
их в виде пакетов через протокол ICMP. «Для
сетевых администраторов и выходных
фильтров этот ICMP-пакет выглядит как обычный
исходящий трафик. Однако в
действительности ICMP-пакет содержит
сведения, введенные пользователем. Хакеры,
по-видимому, перехватывают этот пакет на
своем удаленном сервере, где легко его
расшифровывают», — описывают троянца
специалисты Websense.
