Банковский троян Tinba / Trojan.Hottrend


Tinba (Tiny Banker) или Trojan.Hottrend (по Доктор Веб) - самый маленький из известных ныне банковских троянов. Tinba написан на языке Ассемблер и представляет собой очень компактную вредоносную программу. Размер - порядка 20 КБ.

На сегодняшний день известно как минимум пять разновидностей этого трояна.

Запустившись на инфицированном компьютере, троян выполняет расшифровку самого себя, а затем создает экземпляр приложения

  • winver.exe - стандартное приложение, демонстрирующее пользователю сведения о версии Windows

встраивает в него свой расшифрованный код и запускает его. Затем троян выполняет поиск процесса

  • explorer.exe

и встраивается в него. Одна из версий вредоносной программы, детектируемая антивирусным Dr.Web как Trojan.DownLoader6.12974, встраивается во все запущенные на инфицированном компьютере процессы.

Tinba

После этого троян прописывает себя в ветвь системного реестра, отвечающую за автоматическую загрузку приложений, и копирует себя в файл

  • bin.exe


Затем Tinba изменяет настройки подключения к Интернету так, что браузер начинает отображать "смешанное содержимое". Это позволяет ему манипулировать трафиком, использующим защищенный протокол HTTPS. Если на зараженном компьютере установлен браузер Firefox, троян также сохраняет в другую папку небольшой файл

  • user.js

содержащий сценарий на языке JavaScript, отключающий оповещения системы безопасности браузера. Также на диск сохраняются файлы, используемые трояном для соединения с управляющим сервером.

Адреса командных серверов жестко "зашиты" в самом трояне. Установив соединение, троян передает зашифрованные данные методом POST и ожидает ответа. Основное функциональное предназначение этой вредоносной программы — отслеживание сетевого трафика с целью перехвата конфиденциальной (в том числе банковской) информации, с дальнейшей передачей ее злоумышленникам.

Вскоре после появления первых сообщений о распространении Tinba специалистами Доктор Веб был обнаружен еще один маленький банковский троян - Trojan.PWS.Banker.64540.

Trojan.PWS.Banker.64540 - написан на языке С++. Размер данной вредоносной программы - порядка 80 КБ. Данный троян является двухкомпонентным, состоит из исполняемого файла и динамической библиотеки DLL. Собственные данные он хранит в системном реестре и файле, который помещает в системную временную папку.