Семейство банковских троянцев, написанных на языке Ассемблер, отличаются рекордно малыми размерами (порядка 20 Кбайт). Также известны под именами Tinba (Tiny Banker), TR/Dldr.Small.251, Win32/Tinba.AA, Trojan-Spy.Win32.SpyEyes.afkc.
Троянец инжектится в созданный им экземпляр winver.exe, затем ищет и инфицирует процесс explorer.exe, либо (в одной из версий) все запущенные в системе процессы. Изменяет настройки подключения к Интернету таким образом, чтобы обеспечить возможность управления трафиком по протоколу HTTPS. Сохраняет на диск файлы:
- C:\Documents and Settings\All Users\Application Data\default\bin.exe
- C:\Documents and Settings\admin\Application Data\default\web.dat
- C:\Documents and Settings\admin\Application Data\default\cfg.dat
Модифицирует реестр с целью обеспечения автоматического запуска. Если на инфицированной машине установлен Firefox, сохраняет скрипт C:\Documents and Settings\(Username)\Application Data\Mozilla\Firefox\Profiles\(Profile Name)\user.js, отключающий оповещения системы безопасности.
Основное функциональное предназначение данной вредоносной программы — отслеживание сетевого трафика с целью перехвата конфиденциальной (в том числе, банковской) информации, которая впоследствии передается злоумышленникам на удаленные командные серверы.
