В интернете обнаружена троянская программа, использующая протокол ICMP, и маскирующаяся под объект браузера Internet Explorer.

Необычного троянца обнаружили в Сети исследователи компании Websense. Троянец отправляет краденую информацию не традиционными способами, уязвимыми для брандмауэров – по электронной почте или пакетами HTTP - а через «невинный» протокол ICMP (Internet Control Message Protocol), который используется в технологии ping – проверке работоспособности и времени отклика удаленных компьютеров путем обмена пробными пакетами.

Троянец, которому еще не присвоили имя, устанавливается в систему как вспомогательный объект браузера Internet Explorer (Browser Helper Object, BHO), и ждет, когда пользователь зайдет на определенные сайты, в основном, банковские. Затем вредоносный код перехватывает пароли, другую конфиденциальную информацию, и отправляет их удаленному хакеру. Данные, перенаправляющиеся с помощью ICMP, достаточно примитивно шифруются алгоритмом XOR («исключающее "или"»).

В Websense проверили работоспособность нового троянца, заразив им тестовый компьютер и введя данные в форму на сайте Deutsche Bank, использующем защищенный протокол SSL. Как и ожидалось, троянец перехватил информацию, и передал ее через ICMP на удаленный сервер.

"Действительно, отправка трояном данных по протоколу ICMP возможна, при этом для персонального межсетевого экрана данные пакеты, скорее всего, выглядят как пакеты, исходящие от Internet Explorer'a, - коментирует консультант по информационной безопасности отдела консалтинга компании «ДиалогНаука» Данил Мисоченко. - Данный экземпляр вредоносного кода действительно может представлять значительную опасность для пользователей сети интернет. Проблема серьезна и актуальна, в первую очередь, для тех пользователей, кто нерегулярно обновляет или не использует современное антивирусное программное обеспечение, способное отразить данное вредоносное ПО".

"Ничего принципиально необычного в этом троянце нет, так же, как чего-то сверхопасного, - заявляет Сергей Комаров, начальник структурного подразделения "Отдел антивирусных разработок и исследований" компании "Доктор Веб". - Уже продолжительное время существуют инфекции, которые проникают как BHO и другие, которые используют ICMP в своих вредоносных целях. Троянец о котором пишет Websense нов лишь тем, что объединил два этих метода. Это, безусловно, представляет определенную угрозу пользователям компьютера, но не большую, чем остальные троянские программы. Качественные антивирусы давно доказали, что могут успешно противостоять подобным инфекциям".

"Реализации использования ICMP как в целях кражи данных, так и в обычных существуют уже очень давно, - говорит Александр Гостев, ведущий вирусный аналитик "Лаборатории Касперского". - Первые вирусные разработки в этой области относятся еще к концу 90-х годов. В частности, вопросам использования ICMP для передачи данных от троянцев - занимался еще Z0mbie (русский член хакерской группировки 29A). Подобные троянские программы сейчас, действительно, редкость, но редкость это не потому, что технология новая и революционная, а потому что авторам вирусов гораздо проще воровать данные обычными путями, без такой экзотики как ICMP-туннель".