Доктор Веб проанализировал самый маленький банковский троянец

Компания Доктор Веб произвела детальный анализ самого маленького из известных ныне банковских троянцев, который специалисты по информационной безопасности окрестили Tinba. О нем в июне этого году уже успели рассказать СМИ. Запустившись на инфицированном компьютере, троянец выполняет расшифровку самого себя, а затем создает экземпляр приложения winver.exe (стандартное приложение, демонстрирующее пользователю сведения о версии Windows), встраивает в него свой расшифрованный код и запускает его. Затем троянец выполняет поиск процесса explorer.exe и встраивается в него. Одна из версий вредоносной программы, детектируемая антивирусным Dr.Web как Trojan.DownLoader6.12974, встраивается во все запущенные на инфицированном компьютере процессы.

Любопытно, что вскоре после появления первых сообщений о распространении Tinba специалистами Доктор Веб был обнаружен еще один маленький банковский троянец, добавленный в базы под именем Trojan.PWS.Banker.64540. Он значительно крупнее Trojan.Hottrend — объем данной вредоносной программы составляет порядка 80 КБ, и написана она не на Ассемблере, а на С++. Этот троянец является двухкомпонентным, состоит из исполняемого файла и динамической библиотеки DLL.