Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Doctor Web a étudié le plus petit des trojans bancaires

Le 20 juin 2012

Début juin 2012, les médias ont parlé de la détection du « plus petit des trojans bancaires connus », il s'agissait de Tinba (Tiny Banker). Doctor Web propose un rapport technique sur cette menace.

Tinba est écrit en langage Assembler et pèse 20 Ko. A ce jour, cinq modifications de ce trojan ont été détectées. Le logiciel Dr.Web détecte les premiers représentants de cette famille de programmes malveillants, comme le Trojan.Hottrend, depuis avril 2012.

Suite à son lancement sur le PC infecté, le trojan décrypte son propre code et sauvegarde une application winver.exe (une application standard permettant à l’utilisateur de voir les données sur la version de Windows), installe son code décrypté dans cette application et la lance. Ensuite, il recherche le processus explorer.exe et s’y intègre. L’une des versions de ce trojan détectée par Dr.Web comme Trojan.DownLoader6.12974, s’installe dans tous les processus sur le PC infecté.

Ensuite, il s’enregistre dans la branche du registre relatif à l’auto démarrage des applications et enregistre une copie de lui-même dans le fichier bin.exe. Ensuite, Tinba modifie les configurations de connexion sur Internet pour que le navigateur puisse visualiser le "contenu mixte" afin de modifier le trafic via le protocole HTTPS. Si le navigateur Firefox est installé sur le PC, le trojan sauvegarde un fichier user.js sur le PC, ce fichier contient un scenario en langage JavaScript qui désactive les notifications de sécurité du navigateur. Le trojan sauvegarde sur le PC les fichiers nécessaires pour établir la connexion avec un serveur distant.

Les adresses des serveurs de gestion sont codées dans le trojan. Une fois la connexion établie, le trojan transmet les données codées par la méthode POST et attend la réponse. La fonctionnalité principale de ce programme malveillant est de contrôler le trafic Internet afin d'intercepter les informations confidentielles (y compris les informations bancaires) et de les transmettre aux pirates.

Après la révélation du trojan Tinba, Doctor Web a détecté un autre petit trojan bancaire : Trojan.PWS.Banker.64540. Il pèse 80 Ko, il est écrit en C++ et contient 2 composants : un fichier exécutable et une bibliothèque DLL. Il sauvegarde les fichiers nécessaires à son fonctionnement dans le registre et dans un dossier temporaire: Doctor Web a déjà parlé de ce programme malveillant.

En conclusion, nous pouvons dire que le nombre de types et de modifications des trojans bancaires ne cesse d’augmenter.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg