據(jù)國(guó)外媒體報(bào)道，日前世界上最小的銀行木馬程序已被偵破。該木馬名為“Tinba”或“Zusy”，它僅有120KB大小，能夠通過(guò)用戶的瀏覽器攔截賬戶登錄數(shù)據(jù)、嗅探網(wǎng)絡(luò)流量。該木馬采用了MiTB（man-in-the-browser）技術(shù)和網(wǎng)絡(luò)注入，并且其還能改變“外觀”和“風(fēng)格”以達(dá)到規(guī)避網(wǎng)頁(yè)雙因素認(rèn)證的目的，欺騙受感染用戶提供額外的敏感數(shù)據(jù)。

　　根據(jù)CSIS（戰(zhàn)略與國(guó)際研究中心）的描述，已檢測(cè)到的Tinba可以說(shuō)是目前最小的一個(gè)銀行木馬程序，它屬于一個(gè)全新的惡意軟件，并有可能在未來(lái)幾個(gè)月內(nèi)大規(guī)模爆發(fā)。

　　CSIS安全專家彼得?克魯斯表示，通過(guò)反病毒檢測(cè)對(duì)木馬樣本的分析，該病毒代碼在配置和網(wǎng)絡(luò)注入等方面都沒(méi)有做任何封裝和高級(jí)加密。同時(shí)，為了避免防病毒檢測(cè)程序的發(fā)現(xiàn)，Tinba通過(guò)先注入再執(zhí)行的方式運(yùn)作。其特定的注入功能會(huì)注入到新創(chuàng)建的進(jìn)程和explorer.exe及svchost.exe進(jìn)程中。Tinba在運(yùn)行時(shí)會(huì)使用四個(gè)不同的庫(kù)：NTDLL.DLL、advapi32.dll、WS2_32.DLL和user32.dll。另外，Tinba在命令和控制（C&C）服務(wù)器通信時(shí)，采用了RC4加密算法，使用了四個(gè)硬編碼域保障其通信。

　　如果C＆C服務(wù)器遺漏了某些檢查，那么木馬文件會(huì)下載并在受感染的主機(jī)上執(zhí)行。當(dāng)成功注入后，Tinba會(huì)讀取配置文件（cfg.dat和web.dat）的設(shè)置，并通過(guò)瀏覽器API攔截和操縱網(wǎng)絡(luò)傳輸。

　　另外，克魯斯在講述這個(gè)微型木馬的同時(shí)也警告用戶“雖然Tinba主要針對(duì)金融網(wǎng)站，但其也證明了一個(gè)問(wèn)題，并不是所有的數(shù)據(jù)竊取類惡意軟件都會(huì)超多20MB的大?。ɡ鏔lame），小體積依然會(huì)壞大事！”