Nieuwe Trojan verstopt gegevens in icmp-pakketten
Gepubliceerd: Woensdag 9 augustus 2006
Auteur: Wilbert de Vries
Een nieuwe Trojan maakt handig misbruik van icmp-packets om ontdekking te voorkomen en onderschepte gegevens door te kunnen sturen.
De nieuwe Trojan, die nog geen naam heeft, is ontdekt door beveiligingsonderzoekers van Websense. Als een pc eenmaal besmet is, installeert de Trojan zichzelf als een browser helper object (bho) voor Internet Explorer.
Na installatie wacht de Trojan totdat de gebruiker via de browser een van de vooraf gedefinieerde websites voor internetbankieren bezoekt.
Zodra dit gebeurt, legt de Trojan alle toestaanslagen vast en verstopt deze in een versleuteld ping-pakketje om deze vervolgens af te leveren bij zijn maker.
Deze aanpak zorgt er volgens Websense voor dat de gegevens erg moeilijk te detecteren zijn omdat het er uitziet als normaal dataverkeer. Icmp-pakketten worden normaalgesproken alleen gebruikt om contact te maken met hosts, zoals bij een traceroute of ping-opdracht.
Websense heeft de werking van de Trojan getest vanaf een besmette pc. Toen de experts via een beveiligde ssl-verbinding gegevens invoerden op de website van de Deutche Bank, bleken deze inderdaad te worden onderschept.
Bron: Techworld
