Возвращение самого маленького банковского трояна, написанного на ASM

Сразу несколькими антивирусными компаниями была зафиксирована активность самого маленького на текущий момент банковского трояна Tinba (сокращение от «Tiny Banker»), размер которого составляет около 20Кб. Код трояна скомпилирован с использованием MASM32/TASM32.

Несмотря на свой маленький размер, обнаруженный экземпляр банковского трояна Tinba достаточно функционален. Троян работает в окружение браузера (Internet Explorer и Firefox) и перехватывает логин/пароль к системам клиент-банкинга, а также собирает реквизиты кредитных карт и ключи двухуровневой авторизации. После запуска троян скрывается под процессом с именем «Version Reporter Applet» («winvert.exe»), который создает постоянный исполняемый файл «bin.exe». Отслеживаемые адреса сервисов онлайн-банкинга и ряд других настроек хранятся в файле «cfg.dat», а HTML-код внедрения — в файле «web.dat».

Механизм внедрения вредоносного кода в страницу похож на реализованный в банковском трояне ZeuS, за что обнаруженный троян Tinba иногда называют Zusy. Однако в дополнение к этому механизму, Tinba применяет модификацию параметра X-Frame-Options заголовка HTTP-запроса, для разрешения небезопасных соединений в режиме HTTPS.

Полученная информация отправляется на 1 из 5 C&C серверов. Адреса центов управления статические, не меняются. Это большой минус, ведь такие серверы можно быстро отключить. Общение трояна с C&C шифруется с использованием алгоритмов RC4. Управляющий центр также отвечает за обновление версии трояна, в ходе которого список управляющих центров и настройки могут быть изменены.