TinyBanker-банковский троян

Тема в разделе "Исходники вирусов", создана пользователем Антоха, 19 июл 2014.

↑ ↓
  1. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.183
    Симпатии:
    11.096
    Пол:
    Мужской
    Репа:
    +11.244 / 47 / -6
    Jabber:
    Skype:
    Копирую статью с Хабра.Исходник с reverse4you.org.

    Несколько лет назад наши коллеги из CSIS Security Group первыми написали о самом маленьком банковском трояне «Tiny Banker» (a.k.a Tinba, Zusy), который был известен на тот момент. Размер исполняемого файла составляет всего около 20KB, так как авторы использовали для написания ассемблер. Подобно многим банковским троянам, он использует технику внедрения (инжекции) своего кода в браузер и перехватывает там необходимые API-вызовы для кражи конфиденциальных банковским данных через механизм форм-граббинга и веб-инжектов (т. н. атака Man-in-the-Browser). Обнаруживается ESET: Win32/Tinba, Microsoft: Trojan:Win32/Tinba.A, Symantec: Trojan.Tinba.

    Недавно на одном из подпольных форумах появилась информация о том, что тексты первой версии Tinba доступны для загрузки. Архив включает в себя исходные тексты бота, а также панели управления, которую злоумышленники могут использовать для получения информации о работе ботов. Tinba ориентирован на популярные веб-браузеры MS Internet Explorer, Mozilla Firefox и Google Chrome, что и подтверждается исходными текстами.

    333c86f6d357a5bc936273cfbe52770a.
    Рис. Исходные тексты бота Tinba. Видны файлы, отвечающие за форм-граббинг браузеров.

    99753b93d83a2450ffb9200042cc8b36.
    Рис. Информация об исходных текстах на закрытом форуме.

    Последствия раскрытия подобных исходных текстов вредоносных программ трудно переоценить, поскольку это даст возможность злоумышленникам создавать модифицированные версии этого трояна, используя открытую кодовую базу. Прошлым летом мы писали про утечку гигантского архива исходных текстов Carberp, на основе которых уже был создан ряд новых вредоносных программ.

    Одна из первых версий вредоносной программы, основанной на этих исходных текстах:

    SHA256: 8cc5050f513ed22780d4e85857a77a1fb2a3083d792cd550089b64e1d2ef58e9
    File size: 19968 bytes
    Пасс на архив:111
     

    Вложения:

    • Tinba.rar
      Размер файла
      935,9 КБ
      Просмотров:
      82
    • Мне нравится Мне нравится x 5
  2. 1s2z Пользователь
    1s2z
    Ответить в чате

    Первый уровень

    Регистрация:
    18.02.2015
    Сообщения:
    16
    Симпатии:
    1
    Пол:
    Женский
    Репа:
    +1 / 0 / -0
    жаль на делфи таких исходников нету а так вещь реально стоющая
     
  3. Bless Пользователь
    Bless
    Ответить в чате

    Первый уровень

    Регистрация:
    30.11.2014
    Сообщения:
    19
    Симпатии:
    14
    Пол:
    Мужской
    Репа:
    +14 / 0 / -0
    Учи ассемблер))
     
    • Мне нравится Мне нравится x 2
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.811
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Ну я не знаю на голом асме навряд-ли сейчас пишут, вот в комплексе си+асм, ну или делфи+ асм это-да...

    А вот только на голом асме вспотеть можно писать-же !Не въехал!!!

    Вот-был у нас тут чел., себя к элито пречисляет (Инди), кроме асма ничего не знает и не хочет знать, уж незнаю чего он там писал, вот банальное даже вычислить интеграл, сравните программу на си и на асме...

    А если что по сложнее, то сидеть в этом асме писать ? А чего не в машинных кодах...смех-смех!!!
     
  5. Bless Пользователь
    Bless
    Ответить в чате

    Первый уровень

    Регистрация:
    30.11.2014
    Сообщения:
    19
    Симпатии:
    14
    Пол:
    Мужской
    Репа:
    +14 / 0 / -0
    хех) представляю как кто-нибудь пишет приложение бинарным кодом)
     
  6. ddgobb Житель форума
    ddgobb
    Ответить в чате

    Форумчанин

    Регистрация:
    24.11.2015
    Сообщения:
    7
    Симпатии:
    0
    Репа:
    +0 / 1 / -0
    Когда-то приходилось (в далёкие...) писался текст асм в тетрадке, а потом по таблице мнемоник переводился в бин, который потом перепечатывался в хех редактор, при этом еще надо было адресацию и прочие прыги высчитывать в ручную
    (вот это веселье)
     

Поделиться этой страницей