Перейти к содержанию
AM_Bot

В «Доктор Веб» проанализирован самый маленький банковский троянец

Recommended Posts

AM_Bot

20 июня 2012 года

В начале июня 2012 года многие СМИ опубликовали новость об обнаружении «самого маленького из известных ныне банковских троянцев», который специалисты по информационной безопасности окрестили Tinba (Tiny Banker). Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предлагает вниманию пользователей технический обзор этой угрозы.

Tinba написан на языке Ассемблер и представляет собой очень компактную вредоносную программу, размер которой составляет порядка 20 КБ. Всего на сегодняшний день известно как минимум пять разновидностей этого троянца. Несмотря на то, что новостные сайты и некоторые разработчики антивирусных программ сообщили об обнаружении Tinba только 5 июня 2012 года, антивирусное ПО Dr.Web определяет эту вредоносную программу как Trojan.Hottrend, причем записи о первых образцах данного семейства были добавлены в вирусные базы Dr.Web еще в конце апреля 2012 года.

Запустившись на инфицированном компьютере, троянец выполняет расшифровку самого себя, а затем создает экземпляр приложения winver.exe (стандартное приложение, демонстрирующее пользователю сведения о версии Windows), встраивает в него свой расшифрованный код и запускает его. Затем троянец выполняет поиск процесса explorer.exe и встраивается в него. Одна из версий вредоносной программы, детектируемая антивирусным Dr.Web как Trojan.DownLoader6.12974, встраивается во все запущенные на инфицированном компьютере процессы.

tinbadecrypt_450.png

После этого троянец прописывает себя в ветвь системного реестра, отвечающую за автоматическую загрузку приложений, и копирует себя в файл bin.exe. Затем Tinba изменяет настройки подключения к Интернету таким образом, чтобы браузер мог отображать «смешанное содержимое», что позволяет ему манипулировать трафиком, использующим защищенный протокол HTTPS. Если на зараженном компьютере установлен браузер Firefox, троянец также сохраняет в другую папку небольшой файл user.js, содержащий сценарий на языке JavaScript, который отключает оповещения системы безопасности браузера. Также на диск сохраняются файлы, используемые троянцем для соединения с управляющим сервером.

Адреса командных серверов жестко «зашиты» в самом троянце. Установив соединение, троянец передает зашифрованные данные методом POST и ожидает ответа. Основное функциональное предназначение этой вредоносной программы — отслеживание сетевого трафика с целью перехвата конфиденциальной (в том числе банковской) информации, которая впоследствии передается злоумышленникам.

Любопытно, что вскоре после появления первых сообщений о распространении Tinba специалистами «Доктор Веб» был обнаружен еще один маленький банковский троянец, добавленный в базы под именем Trojan.PWS.Banker.64540. Он значительно «крупнее» Trojan.Hottrend — объем данной вредоносной программы составляет порядка 80 КБ, и написана она не на Ассемблере, а на С++. Этот троянец является двухкомпонентным, состоит из исполняемого файла и динамической библиотеки DLL. Собственные данные он хранит в системном реестре и файле, который помещает в системную временную папку, — мы уже подробно рассказывали об этой вредоносной программе в одной из недавних публикаций.

Представленная информация все больше подтверждает предположение аналитиков о пристальном интересе злоумышленников к небольшим по объему банковским троянцам, количество видов и модификаций которых постоянно увеличивается.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

#Zusy #Tinba

BlackHole payload

MD5: b6991e7497a31fada9877907c63a5888

SHA1: d5564400d5fef5dc46385e4774d515574e0c1405

http://www.anti-malware.ru/forum/index.php?showtopic=22883

http://www.csis.dk/en/csis/news/3566/

Trojan:Win32/Tinba.A

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Trojan.DownLoader6.12974

Trojan.Hottrend

BackDoor.Spy.507

Trojan.Inject1.3871

Trojan.DownLoader6.13771

если быть точнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Trojan.DownLoader6.12974

Trojan.Hottrend

BackDoor.Spy.507

Trojan.Inject1.3871

Trojan.DownLoader6.13771

Что все это значит? Кто все эти "люди"? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Что все это значит? Кто все эти "люди"? :)

"культура" присвоения имён. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Аверы, такие аверы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
"культура" присвоения имён. :)

Слава роботам! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      DOCCENT Вопросы по ESET нужно решать через Службу технической поддержки  по адресу:  [email protected] ( при наличие лицензии ) Или при обращении на оф. форум http://forum.esetnod32.ru/ ( наличие\отсутствие лицензии роли не играет ) По удалению: https://www.comss.ru/search/?q=eset+Удаление&x=GUEST Будьте внимательны при работе с ESETUninstaller (  переключите раскладку клавиатуры на английскую ) Выбрать английскую: y  и затем 1 При необходимости повторите процедуру несколько раз до полной уверенности. ------------- P.S. здесь форум всё...
    • sarge
      Могу посоветовать Элитс,  там есть возможность возврата вещей, если они не подошли. Да и ещё в этом магазине сейчас проходит распродажа брендовой мужской обуви https://elyts.ru/catalog/man/obuv/ и верхней одежды, цены на неё прилично снижены.
    • Allexks
      покупаю, но редко, с размерами пока не прогадывала)
    • Karolina
      А я начинаю только. Тут с криптовалютной биржей Binance ознакомилась и решила, что подходит идеально. Торгую и сразу всё получаться начало ! Это здорово. Я рада. Пока неопытная с этим, но в будущем обязательно буду горы сворачивать, уверена
    • DOCCENT
      Здравствуйте. У меня начал косячить мой ЕСЕТ 32 антивирус (перестал обновляться модуль). Решил установить другой такой же. Удалил старый, теперь новый, при установки выдает: "На этом компьютере  уже установлена последняя версия и т.д.", и прекращает установку. Хотя и удалил этот антивирус полностью, после этого почистил диски, реестры двумя программами, естественно перезагрузил. Пробовал ESETUninstaller, этот вообще не хочет работать( окно открывается, и дальше ни каких движений) не понятно почему. Подскажите что делать, получается я старый удалил, а новый не могу установить  
×