Перейти к содержанию
AM_Bot

В «Доктор Веб» проанализирован самый маленький банковский троянец

Recommended Posts

AM_Bot

20 июня 2012 года

В начале июня 2012 года многие СМИ опубликовали новость об обнаружении «самого маленького из известных ныне банковских троянцев», который специалисты по информационной безопасности окрестили Tinba (Tiny Banker). Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предлагает вниманию пользователей технический обзор этой угрозы.

Tinba написан на языке Ассемблер и представляет собой очень компактную вредоносную программу, размер которой составляет порядка 20 КБ. Всего на сегодняшний день известно как минимум пять разновидностей этого троянца. Несмотря на то, что новостные сайты и некоторые разработчики антивирусных программ сообщили об обнаружении Tinba только 5 июня 2012 года, антивирусное ПО Dr.Web определяет эту вредоносную программу как Trojan.Hottrend, причем записи о первых образцах данного семейства были добавлены в вирусные базы Dr.Web еще в конце апреля 2012 года.

Запустившись на инфицированном компьютере, троянец выполняет расшифровку самого себя, а затем создает экземпляр приложения winver.exe (стандартное приложение, демонстрирующее пользователю сведения о версии Windows), встраивает в него свой расшифрованный код и запускает его. Затем троянец выполняет поиск процесса explorer.exe и встраивается в него. Одна из версий вредоносной программы, детектируемая антивирусным Dr.Web как Trojan.DownLoader6.12974, встраивается во все запущенные на инфицированном компьютере процессы.

tinbadecrypt_450.png

После этого троянец прописывает себя в ветвь системного реестра, отвечающую за автоматическую загрузку приложений, и копирует себя в файл bin.exe. Затем Tinba изменяет настройки подключения к Интернету таким образом, чтобы браузер мог отображать «смешанное содержимое», что позволяет ему манипулировать трафиком, использующим защищенный протокол HTTPS. Если на зараженном компьютере установлен браузер Firefox, троянец также сохраняет в другую папку небольшой файл user.js, содержащий сценарий на языке JavaScript, который отключает оповещения системы безопасности браузера. Также на диск сохраняются файлы, используемые троянцем для соединения с управляющим сервером.

Адреса командных серверов жестко «зашиты» в самом троянце. Установив соединение, троянец передает зашифрованные данные методом POST и ожидает ответа. Основное функциональное предназначение этой вредоносной программы — отслеживание сетевого трафика с целью перехвата конфиденциальной (в том числе банковской) информации, которая впоследствии передается злоумышленникам.

Любопытно, что вскоре после появления первых сообщений о распространении Tinba специалистами «Доктор Веб» был обнаружен еще один маленький банковский троянец, добавленный в базы под именем Trojan.PWS.Banker.64540. Он значительно «крупнее» Trojan.Hottrend — объем данной вредоносной программы составляет порядка 80 КБ, и написана она не на Ассемблере, а на С++. Этот троянец является двухкомпонентным, состоит из исполняемого файла и динамической библиотеки DLL. Собственные данные он хранит в системном реестре и файле, который помещает в системную временную папку, — мы уже подробно рассказывали об этой вредоносной программе в одной из недавних публикаций.

Представленная информация все больше подтверждает предположение аналитиков о пристальном интересе злоумышленников к небольшим по объему банковским троянцам, количество видов и модификаций которых постоянно увеличивается.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

#Zusy #Tinba

BlackHole payload

MD5: b6991e7497a31fada9877907c63a5888

SHA1: d5564400d5fef5dc46385e4774d515574e0c1405

http://www.anti-malware.ru/forum/index.php?showtopic=22883

http://www.csis.dk/en/csis/news/3566/

Trojan:Win32/Tinba.A

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Trojan.DownLoader6.12974

Trojan.Hottrend

BackDoor.Spy.507

Trojan.Inject1.3871

Trojan.DownLoader6.13771

если быть точнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Trojan.DownLoader6.12974

Trojan.Hottrend

BackDoor.Spy.507

Trojan.Inject1.3871

Trojan.DownLoader6.13771

Что все это значит? Кто все эти "люди"? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Что все это значит? Кто все эти "люди"? :)

"культура" присвоения имён. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Аверы, такие аверы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
"культура" присвоения имён. :)

Слава роботам! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Demkd Мне кажется ЭТО тоже стоит посмотреть. C:\USERS\ADMIN\APPDATA\LOCAL\PACKAGE CACHE\{C187DB08-7705-4616-834B-87B3087AE698}V3.0.7.830\INSTALLER V.T.:  MicrosoftTrojan:Win32/Zpevdo.A    
    • demkd
    • SQx
      Отправил вам ссылку в лс.
    • demkd
      пора слазить с XP, конкретно этот файл имеет подпись на базе SHA256
        это возможно, но причина не в SHA1, в чем хз и вряд ли получится найти. хорошо бы увидеть образ из этой темы, скачать я его не могу, на этом форуме своя атмосфера
    • ГришаСмернов
      Sveta, а ранее Вы уже раскручивали свой сайт, сайта старый или новый? Ну конечно самостоятельно заниматься продвижением своего сайта не так уж и просто, тем более не имя никакого опыта ранее. Я знаю проверенный сервис, который занимается разработкой сайтов , обратитесь к ним за помощью. Seo - мастера у них с опытом, свою работу выполняют качественно и быстро (3 - 4 дня в зависимости от сложности) Зайдите на сайт, который я Вам скинул, здесь есть более подробная информация об их услугах.
×