Обнаружен банковский троян
🕛 01.06.2012, 15:56
По словам исследователей, новая вредоносная программа, способная похищать данные с web-сайтов финансовых организаций, в размере не превышает 20 КБ. Компания CSIS Security Group сообщила об обнаружении нового банковского трояна, который благодяря его крошечному размеру назвали Tinba (от англ. «Tiny Banker» - крошечный банкир).
Согласно сообщению компании, Tinba представляет собой маленький троян, способный похищать банковские данные. «Tinba является наименьшей троянской программой, которую мы когда-либо видели, и относится к абсолютно новой группе вирусов, о которой мы вскоре услышим», - говорится в сообщении CSIS Security Group.
По данным экспертов, Tinba являет собой вредоносный код размером в 20 КБ, который, попадая в компьютер жертвы, не нуждается в распаковке или расшифровке.
Инфицируя систему, вирус использует четыре различные библиотеки: ntdll.dll, advapi32.dll, ws2_32.dll и user32.dll. Основные компоненты копируются в папку [%userprofile%]Application DataDefault под названием «bin.exe». Вредонос использует типичные приемы атаки «Man in The Browser» (MiTB), внедряясь в такие процессы, как iexplore.exe и firefox.exe. После успешного инфицирования системы Tinba может изменять настройки файлов конфигурации cfg.dat и web.dat, что позволяет ему контролировать трафик при помощи нескольких API интерфейсов браузера.
Интересной особенностью Tinba является его возможность модифицировать заголовки опций X-FRAME, позволяющие вредодонсу загружать элементы с небезопасных серверов или сайтов.
По данным исследователей CSIS Security Group, Tinba атакует web-сайты финансовых организаций, однако пока ограничивается небольшим количеством URL-адресов.
Подробнее с результатами исследования можно ознакомиться здесь.