Este é um trojan diferente. Ao invés de mandar os dados via smtp ou outro protocolo já amplamente conhecido, o programador deste aí resolveu ser um pouco mais criativo que os outros. Assim, ele criou um trojan que remete os dados via icmp.
Para o usuário comum isto não é muito conhecido, pois ele não utiliza o famoso comando ping. O ping é muito utilizado para saber se um servidor está on line ou não. Ou seja, você manda um pacote que pede uma resposta do servidor, e se ele lhe responder, é porque está pronto a receber comunicação via rede de comunicação de dados.
Um grande porém, é que este mesmo pacote que serve para ajudar, serve também para derrubar servidores. E, não aceitar certos tipos de ping, podem evitar que seus usuários infectados possam detonar outras redes.
O que eu achei legal neste scam, é que ele, utilizando um algoritmo XOR, encapsula os dados no cabeçalho de um pacote ping ( icmp ). Isto torna ele bem diferente dos keyloggers comuns que encontramos por aí.
Mas, desde que a sua rede não esteja configurada para aceitar qualquer tipo de ping, ou seja, somente para aceitar pacotes icmp realmente legítmos, o trojan acaba se tornando inofensivo.
Mas, levando-se em conta o número excessivo de redes que permite qualquer tráfego ping ... já dá para saber o quanto este trojan vai sair pegando de dados né ?
Para maiores informações e imagens de capturas de dados, clique aqui e vá para a página do aviso. Se você usa iptables, aí vão duas regras que podem lhe ajudar :
Iptables :
#Bloqueio de ping echo-request
iptables -A INPUT -p icmp --icmp-type echo-request -s 192.168.200.0/24 -d 0.0.0.0 -j DROP
#Bloqueio de ping echo-reply
iptables -A INPUT -i eth1 -p icmp -s 0.0.0.0/0 -d 200.200.200.200 --icmp-type echo-reply -j DROP