Tinba

A kisméretű Tinba trójai elsősorban banki adatok kiszivárogtatásában vállal szerepet, amit meglehetősen észrevétlen módon tesz meg.
 

A Tinba trójai elsősorban arról híresült el, hogy a kis mérete ellenére számos adatlopásra alkalmas funkcióval és képességgel rendelkezik. Ezúttal azt vesszük szemügyre, hogy a trójai pontosan milyen módosításokat végez a fertőzött rendszereken annak érdekében, hogy minél több bizalmas adattal tudja elhalmozni a terjesztőit.

A Tinba elsősorban online banki szolgáltatásokhoz tartozó adatok után mutat fokozott érdeklődést. Ennek megfelelően webböngészőkben megadott felhasználóneveket, jelszavakat, hitelkártyaszámokat kémlel. Az általa megfertőzött rendszereken mindössze egy állományt hoz létre, majd manipulálja a böngészők biztonsági beállításait. A kártékony program kompatibilis az Internet Explorer, a Firefox valamint a Google Chrome alkalmazásokkal, amelyek esetében nemcsak adatlopásra alkalmas, hanem bizonyos weblapok manipulálására is képes.

A trójai manuális módszerekkel történő felismerését nehezíti, hogy az a Windows és a böngészők folyamataiba épül be, így például a Windows Feladatkezelőjében sem látható. Ennek ellenére folyamatosan monitorozza a hálózati adatforgalmat, és a releváns információkat rendszeres időközönként feltölti előre meghatározott szerverekre.


Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%SystemDrive%/Documents and Settings/All Users/Application Data/default/bin.exe

2. Módosítja a Firefox egyes beállításait az alábbi fájl manipulálásával:
%SystemDrive%/Documents and Settings/All Users/Application Data/Mozilla/Firefox/Profiles/[profilnév]/user.js

Ezzel kikacsolja a nem biztonságos weboldalak esetén megjelenő riasztásokat.

3. A regisztrációs adatbázishoz hozzáfűzi következő értéket:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/"default" = "%SystemDrive%/Documents and Settings/All Users/Application Data/default/bin.exe"

4. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3/"1609" = "0"

Ezzel manipulálja az Internet Explorer biztonsági beállításait.

5. Megfertőzi a következő folyamatokat vagy az azokhoz tartozó állományokat:
explorer.exe
svchost.exe
iexplore.exe
chrome.exe
firefox.exe

6. Esetenként leállítja az alábbi folyamatokat:
explorer.exe
svchost.exe

7. Folyamatosan monitorozza a hálózati adatforgalmat, és az abból kinyert információkat a következő állományba menti le:
%SystemDrive%/Documents and Settings/All Users/Application Data/default/web.dat

8. Az összegyűjtött adatokat feltölti előre meghatározott távoli szerverekre.