Самый маленький банковский троян, написанный на ассемблере, вернулся

22.06.2012 | 11:05
Самый маленький банковский троян, написанный на ассемблере, вернулся
Сразу несколькими антивирусными компаниями была зафиксирована активность самого маленького на текущий момент банковского трояна Tinba (сокращение от "Tiny Banker"), размер которого составляет около 20Кб. Код трояна скомпилирован с использованием MASM32/TASM32.

Антивирусная компания "Доктор Веб" с 2010 года идентифицирует таких троянов как семейство Trojan.Hottrend. К этому семейству относятся: TR/Dldr.Small.251, Win32/Tinba.AA, Trojan-Spy.Win32.SpyEyes.afkc и ряд других.

Несмотря на свой маленький размер, обнаруженный экземпляр банковского трояна Tinba достаточно функционален. Троян работает в окружение веб-браузера (Internet Explorer и Firefox) и перехватывает логин/пароль к системам дистанционного банковского обслуживания, а также собирает реквизиты кредитных карт и ключи двухуровневой авторизации.

После запуска троян скрывается под процессом с именем "Version Reporter Applet" ("winvert.exe"), который создает постоянный исполняемый файл "bin.exe". Отслеживаемые адреса сервисов онлайн-банкинга и ряд других настроек хранятся в файле "cfg.dat", а HTML-код внедрения - в файле "web.dat". Механизм внедрения вредоносного кода в веб-страницу похож на реализованный в банковском трояне ZeuS, за что обнаруженный троян Tinba иногда называют Zusy. Однако в дополнение к этому механизму, Tinba применяет модификацию параметра X-Frame-Options заголовка HTTP-запроса, для разрешения небезопасных соединений в режиме HTTPS.

Полученная информация отправляется на один из 5 запрограммированный и неизменяемый адрес управляющего центра. Общение трояна с управляющими центрами шифруется с использованием алгоритмов RC4. Управляющий центр также отвечает за обновление версии трояна, в ходе которого список управляющих центров и настройки могут быть изменены. Таким образом, эксперты отмечают, что эффективность трояна не зависит от его размеров.
Подробности
Tinba, банковский троян, ассемблер
По материалам uinc.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код