Сразу несколькими антивирусными компаниями была зафиксирована активность самого маленького на текущий момент банковского трояна Tinba (сокращение от "Tiny Banker"), размер которого составляет около 20Кб. Код трояна скомпилирован с использованием MASM32/TASM32. Антивирусная компания "Доктор Веб" с 2010 года идентифицирует таких троянов как семейство Trojan.Hottrend. К этому семейству относятся: TR/Dldr.Small.251, Win32/Tinba.AA, Trojan-Spy.Win32.SpyEyes.afkc и ряд других. Несмотря на свой маленький размер, обнаруженный экземпляр банковского трояна Tinba достаточно функционален. Троян работает в окружение веб-браузера (Internet Explorer и Firefox) и перехватывает логин/пароль к системам дистанционного банковского обслуживания, а также собирает реквизиты кредитных карт и ключи двухуровневой авторизации. После запуска троян скрывается под процессом с именем "Version Reporter Applet" ("winvert.exe"), который создает постоянный исполняемый файл "bin.exe". Отслеживаемые адреса сервисов онлайн-банкинга и ряд других настроек хранятся в файле "cfg.dat", а HTML-код внедрения - в файле "web.dat". Механизм внедрения вредоносного кода в веб-страницу похож на реализованный в банковском трояне ZeuS, за что обнаруженный троян Tinba иногда называют Zusy. Однако в дополнение к этому механизму, Tinba применяет модификацию параметра X-Frame-Options заголовка HTTP-запроса, для разрешения небезопасных соединений в режиме HTTPS. Полученная информация отправляется на один из 5 запрограммированный и неизменяемый адрес управляющего центра. Общение трояна с управляющими центрами шифруется с использованием алгоритмов RC4. Управляющий центр также отвечает за обновление версии трояна, в ходе которого список управляющих центров и настройки могут быть изменены. Таким образом, эксперты отмечают, что эффективность трояна не зависит от его размеров.
Подробности