آشنایی با بدافزار 20 کیلوبایتی

تاریخ انتشار : ۳۰ دی ۱۳۹۴

بدافزار کم‌حجم تینبا بانک‌های شرق آسیا را آلوده کرده است.

به گزارش گرداب، بانک‌های کشورهای شرق آسیا ازجمله سنگاپور و اندونزی به بدافزار 20KB تینبا آلوده‌ شده‌اند. نسخه پنجم تینبا آخرین نسخه از این بدافزار است که بنگاه‌های اقتصادی را آلوده کرده است.

تینبا اولین بار در سال 2012 مشاهده شد و در سال 2014 کدهای منبع آن در بازار سیاه هکرها به فروش رسید. هم‌اکنون تینبا کم‌حجم‌ترین بدافزار فعال نام‌ گرفته است.

محققان امنیتی F5 آخرین نسخه تینبا را به دلیل حمله به کشورهای شرق آسیا تینباپور (Tinbapore) نام نهاده‌اند. حدود 30 درصد از سامانه‌های آلوده در سنگاپور و 20 درصد هم در اندونزی شناسایی شده‌اند.

آخرین نسخه تینبا دارای تابع ایجاد دامنه است که باعث طول عمر بیشتر آن حتی پس از خاموشی سرور C&C می‌شود. هم‌چنین در نسخه جدید نمونه‌ای از explorer.exe ایجاد می‌شود که در پس‌زمینه به‌صورت خودکار فعالیت می‌کند.

بدافزار فایل‌های زیر را در Application Data ایجاد می‌کند:

فایل‌های Log.dat و nft.dat که به‌منظور ذخیره اطلاعات سامانه آلوده استفاده می‌شود. این فایل‌های رمزشده هستند.

فایل bin.exe که عامل اجرای بدافزار در هنگام بوت سامانه است.

فایل web.dat که دستورهای مخرب برای تزریق به مرورگر کاربر در آن ذخیره می‌شود. این تنظیمات از سرور C&C دریافت می‌شود.