23.06.2012, 05:07
Pod koniec maja duńska CSIS Security Group poinformowała o odkryciu nowego trojana bankowego, którego nazwała Tinba(skrót od "tiny banker" )...nie byłoby w tym może nic dziwnego, gdyby nie to, że trojan waży zaledwie 20 KB i jest najmniejszym znanym do tej pory trojanem bankowym i w porównaniu do osławionego Flame, który waży ok 20 MB (czyli jest ponad tysiąckrotniecięższy) może mieć nawet większe możliwości - znaczy się bardziej zgubne skutki...czyli co - "mały może więcej"?
Wracając do trojana...Tinba znany jest również pod nazwą "Zusy" , jest dość wyrafinowaną infekcją i rozpoczął istnienie całej nowej rodziny. Jak się okazuje, rosyjskie laboratorium Doctor Web ogłosiło 20 czerwca w swojej analizie, że znanych jest już 5 odmian Tinba, który jest u nich sklasyfikowany jako Trojan.Hottrend a dodany został do ich bazy już w kwietniu 2012...czyli jak zwykle przepychanka typu kto był pierwszy i najbardziej się zasłużył...taki zwykły szum medialny dla zyskania rozgłosu...
Trojan oczywiście robi to, co robić powinien czyli w efekcie kradnie nasze dane podczas pracy na przeglądarce internetowej i jako zaszyfrowane przesyła w świat, choć droga do tego w przypadku tak małego trojana jest dość wyrafinowana, bo zaczyna się od rozszyfrowania w systemie swojego kodu, stworzenia nowego procesu podszywającego się pod winver.exe(standardowy program Windows informujący o jego wersji), potem szuka i infekuje explorer.exei svchost.exe(jak wynika z raportu Dr Web - jedna z odkrytych odmian infekowała wszystkie wykryte procesy). Trojan infekuje rejestr, zmienia ustawienia przeglądarek, co potem umożliwia mu przechwytywanie danych z protokołu HTTPS...może nawet więcej, bo w przypadku kiedy w zainfekowanym systemie jest zainstalowany Firefox, trojan zapisuje swój własny plik user.jsw osobnym folderze...plik ten posiada własny skrypt Javy, który z kolei odpowiedzialny jest za blokowanie alertów zabezpieczeń przeglądarki. Przechwycone dane Tinba potem próbuje przesłać dalej nawiązując łączność z określonym serwerem - w przypadku, kiedy nie może nawiązać z nim łączności próbuje kolejnego adresu...i tak do skutku.
Lista używanych przez Tinba serwerów (za Symantec)
[http://] dakotavolandos.com
[http://] dakotavolandos.com
[http://] dak1otavola1ndos.com
[http://] dako22tavol2andos.com
[http://] d3akotav33olandos.com
[http://] d4ak4otavolandos.com
Źródła informacji
Wracając do trojana...Tinba znany jest również pod nazwą "Zusy" , jest dość wyrafinowaną infekcją i rozpoczął istnienie całej nowej rodziny. Jak się okazuje, rosyjskie laboratorium Doctor Web ogłosiło 20 czerwca w swojej analizie, że znanych jest już 5 odmian Tinba, który jest u nich sklasyfikowany jako Trojan.Hottrend a dodany został do ich bazy już w kwietniu 2012...czyli jak zwykle przepychanka typu kto był pierwszy i najbardziej się zasłużył...taki zwykły szum medialny dla zyskania rozgłosu...
Trojan oczywiście robi to, co robić powinien czyli w efekcie kradnie nasze dane podczas pracy na przeglądarce internetowej i jako zaszyfrowane przesyła w świat, choć droga do tego w przypadku tak małego trojana jest dość wyrafinowana, bo zaczyna się od rozszyfrowania w systemie swojego kodu, stworzenia nowego procesu podszywającego się pod winver.exe(standardowy program Windows informujący o jego wersji), potem szuka i infekuje explorer.exei svchost.exe(jak wynika z raportu Dr Web - jedna z odkrytych odmian infekowała wszystkie wykryte procesy). Trojan infekuje rejestr, zmienia ustawienia przeglądarek, co potem umożliwia mu przechwytywanie danych z protokołu HTTPS...może nawet więcej, bo w przypadku kiedy w zainfekowanym systemie jest zainstalowany Firefox, trojan zapisuje swój własny plik user.jsw osobnym folderze...plik ten posiada własny skrypt Javy, który z kolei odpowiedzialny jest za blokowanie alertów zabezpieczeń przeglądarki. Przechwycone dane Tinba potem próbuje przesłać dalej nawiązując łączność z określonym serwerem - w przypadku, kiedy nie może nawiązać z nim łączności próbuje kolejnego adresu...i tak do skutku.
Lista używanych przez Tinba serwerów (za Symantec)
[http://] dakotavolandos.com
[http://] dakotavolandos.com
[http://] dak1otavola1ndos.com
[http://] dako22tavol2andos.com
[http://] d3akotav33olandos.com
[http://] d4ak4otavolandos.com
Źródła informacji
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]