Захисти створене

Інші наші ресурси

  • free.dataprotection.com.ua — безкоштовні утиліти, під'єднувані модулі для браузерів, інформери
  • av-desk.com — інтернет-сервіс для постачальників послуг Dr.Web AV-Desk
  • curenet.dataprotection.com.ua — мережна лікувальна утиліта Dr.Web CureNet!
Закрити

Бібліотека
Моя бібліотека

+ Додати в бібліотеку

Ресурсів: -

Останній: -

Моя бібліотека

Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86
Локальна технічна підтримка:
+380 (44) 224-41-60

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86
Локальна технічна підтримка:
+380 (44) 224-41-60

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Назад к списку новостей

В «Доктор Веб» проанализирован самый маленький банковский троянец

20 июня 2012 года

В начале июня 2012 года многие СМИ опубликовали новость об обнаружении «самого маленького из известных ныне банковских троянцев», который специалисты по информационной безопасности окрестили Tinba (Tiny Banker). Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предлагает вниманию пользователей технический обзор этой угрозы.

Tinba написан на языке Ассемблер и представляет собой очень компактную вредоносную программу, размер которой составляет порядка 20 КБ. Всего на сегодняшний день известно как минимум пять разновидностей этого троянца. Несмотря на то, что новостные сайты и некоторые разработчики антивирусных программ сообщили об обнаружении Tinba только 5 июня 2012 года, антивирусное ПО Dr.Web определяет эту вредоносную программу как Trojan.Hottrend, причем записи о первых образцах данного семейства были добавлены в вирусные базы Dr.Web еще в конце апреля 2012 года.

Запустившись на инфицированном компьютере, троянец выполняет расшифровку самого себя, а затем создает экземпляр приложения winver.exe (стандартное приложение, демонстрирующее пользователю сведения о версии Windows), встраивает в него свой расшифрованный код и запускает его. Затем троянец выполняет поиск процесса explorer.exe и встраивается в него. Одна из версий вредоносной программы, детектируемая антивирусным Dr.Web как Trojan.DownLoader6.12974, встраивается во все запущенные на инфицированном компьютере процессы.

После этого троянец прописывает себя в ветвь системного реестра, отвечающую за автоматическую загрузку приложений, и копирует себя в файл bin.exe. Затем Tinba изменяет настройки подключения к Интернету таким образом, чтобы браузер мог отображать «смешанное содержимое», что позволяет ему манипулировать трафиком, использующим защищенный протокол HTTPS. Если на зараженном компьютере установлен браузер Firefox, троянец также сохраняет в другую папку небольшой файл user.js, содержащий сценарий на языке JavaScript, который отключает оповещения системы безопасности браузера. Также на диск сохраняются файлы, используемые троянцем для соединения с управляющим сервером.

Адреса командных серверов жестко «зашиты» в самом троянце. Установив соединение, троянец передает зашифрованные данные методом POST и ожидает ответа. Основное функциональное предназначение этой вредоносной программы — отслеживание сетевого трафика с целью перехвата конфиденциальной (в том числе банковской) информации, которая впоследствии передается злоумышленникам.

Любопытно, что вскоре после появления первых сообщений о распространении Tinba специалистами «Доктор Веб» был обнаружен еще один маленький банковский троянец, добавленный в базы под именем Trojan.PWS.Banker.64540. Он значительно «крупнее» Trojan.Hottrend — объем данной вредоносной программы составляет порядка 80 КБ, и написана она не на Ассемблере, а на С++. Этот троянец является двухкомпонентным, состоит из исполняемого файла и динамической библиотеки DLL. Собственные данные он хранит в системном реестре и файле, который помещает в системную временную папку, — мы уже подробно рассказывали об этой вредоносной программе в одной из недавних публикаций.

Представленная информация все больше подтверждает предположение аналитиков о пристальном интересе злоумышленников к небольшим по объему банковским троянцам, количество видов и модификаций которых постоянно увеличивается.

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Російський розробник антивірусів Dr.Web

Досвід розробки з 1992 року

Dr.Web користуються в 200+ країнах світу

Більше 71% доходу компанії — продажі бізнес-клієнтам

Цілодобова підтримка російською мовою

Dr.Web © «Доктор Веб»
2003 — 2021

«Доктор Веб» — російський виробник антивірусних засобів захисту інформації під маркою Dr.Web. Продукти Dr.Web розробляються з 1992 року.