Wstęp
Tinba to kolejny
z listy Trojanów atakujących polskich klientów korzystających z bankowości
internetowej. Tinba swą nazwę zawdzięcza skrótowi z pełnej nazwy Tiny Banker.
Po raz pierwszy
zaobserwowano infekcję komputerów w Turcji. Obecnie według zespołu bezpieczeństwa
IBM Trusteer około 45% infekcji ma miejsce w Polsce.
Po raz pierwszy zaobserwowano infekcję komputerów w Turcji. Obecnie według zespołu bezpieczeństwa IBM Trusteer około 45% infekcji ma miejsce w Polsce.
Jak dochodzi do zarażenia?
Wspominałem już że obecnie 90% zarażeń jest realizowana z wykorzystaniem poczty
elektronicznej. Tym razem maile przychodzą z „Poczty Polskiej” lub jako informacja o
zaległych umowach. Poniżej przykład takiego maila po angielsku i po polsku.
Do maila
załączony jest plik wordowy z makrem. Uruchomienie makra powoduje pobranie i
zainstalowanie złośliwego oprogramowania na naszym komputerze.
Jak wykryć Trojana Tinba?
Obecnie mamy co najmniej dwie wersje Tinby. Pierwsza instaluje się w katalogu:
C:\Users\<uzytkownik>\AppData\Roaming\MsDtc\dwmc.exe, data.db,
setc.db
Druga wersja jak na powyższym zrzucie ekranu:
Druga wersja jak na powyższym zrzucie ekranu:
C:\Users\<uzytkownik>\AppData\Roaming\<losowa nazwa>\bin.exe, web.dat
