Le 20 juin 2012

Début juin 2012, les médias ont parlé de la détection du « plus petit des trojans bancaires connus », il s'agissait de Tinba (Tiny Banker). Doctor Web propose un rapport technique sur cette menace.

Tinba est écrit en langage Assembler et pèse 20 Ko. A ce jour, cinq modifications de ce trojan ont été détectées. Le logiciel Dr.Web détecte les premiers représentants de cette famille de programmes malveillants, comme le Trojan.Hottrend, depuis avril 2012.

Suite à son lancement sur le PC infecté, le trojan décrypte son propre code et sauvegarde une application winver.exe (une application standard permettant à l’utilisateur de voir les données sur la version de Windows), installe son code décrypté dans cette application et la lance. Ensuite, il recherche le processus explorer.exe et s’y intègre. L’une des versions de ce trojan détectée par Dr.Web comme Trojan.DownLoader6.12974, s’installe dans tous les processus sur le PC infecté.

Ensuite, il s’enregistre dans la branche du registre relatif à l’auto démarrage des applications et enregistre une copie de lui-même dans le fichier bin.exe. Ensuite, Tinba modifie les configurations de connexion sur Internet pour que le navigateur puisse visualiser le "contenu mixte" afin de modifier le trafic via le protocole HTTPS. Si le navigateur Firefox est installé sur le PC, le trojan sauvegarde un fichier user.js sur le PC, ce fichier contient un scenario en langage JavaScript qui désactive les notifications de sécurité du navigateur. Le trojan sauvegarde sur le PC les fichiers nécessaires pour établir la connexion avec un serveur distant.

Les adresses des serveurs de gestion sont codées dans le trojan. Une fois la connexion établie, le trojan transmet les données codées par la méthode POST et attend la réponse. La fonctionnalité principale de ce programme malveillant est de contrôler le trafic Internet afin d'intercepter les informations confidentielles (y compris les informations bancaires) et de les transmettre aux pirates.

Après la révélation du trojan Tinba, Doctor Web a détecté un autre petit trojan bancaire : Trojan.PWS.Banker.64540. Il pèse 80 Ko, il est écrit en C++ et contient 2 composants : un fichier exécutable et une bibliothèque DLL. Il sauvegarde les fichiers nécessaires à son fonctionnement dans le registre et dans un dossier temporaire: Doctor Web a déjà parlé de ce programme malveillant.

En conclusion, nous pouvons dire que le nombre de types et de modifications des trojans bancaires ne cesse d’augmenter.