La función autocompletar es la que permite que, tecleando tan sólo uno o dos caracteres de los logins o contraseñas, aparezca el resto de forma automática en los formularios de acceso a los servicios de Internet más utilizados por el usuario.
Para robar esa información, Therat.B accede a una entrada del registro de Windows donde se registra dicha información. Aunque la misma se encuentra cifrada, existen aplicaciones diseñadas para descifrarlas.
Además de ello, Therat.B tiene funcionalidad de keylogger. Es decir, registra todas las pulsaciones que el usuario realiza sobre el teclado, de manera que entre los mismos puedan encontrarse datos de interés para el delicuente: nombres de usuario, contraseñas, números de cuentas bancarias o tarjetas de crédito, PINs, etc.
Es un ejemplo más de cómo los ciberdelincuentes unen diversas funcionalidades en un solo código malicioso para rentabilizar al máximo cada infección que provocan. En este caso, se ha unido la función de keylogger con la de robar información almacenada en ciertos lugares del ordenador. Con ello, se aseguran de que en cada ataque exitoso conseguirán, al menos, algun dato confidencial, afirma Luis corrons, Director Técnico de PandaLabs.
Una vez instalado en el ordenador, el troyano crea diversos archivos en el directorio de sistema de Windows. Entre ellos pueden mencionarse SOCKETIME.EXE que es una copia del troyano, o 32THERAT.LOG, en el que almacena la información robada. La misma es finalmente enviada al delincuente a una dirección de correo electrónico predeterminada.
Therat.B también modifica una entrada del Registro de Windows con el objetivo de ejecutarse cada vez que se reinicia el ordenador.
Este troyano no está diseñado para propagarse por sus propios medios, sino que necesita de la intervención de un usuario malicioso para ello. Así, puede ser encontrado en mensajes de correo electrónico de todo tipo, en archivos descargados de Internet o redes P2P, etc.
Sobre PandaLabs
Desde 1990, tiene como misión analizar las nuevas amenazas lo antes posible para mantener seguros a nuestros clientes. Varios equipos especializados en cada tipo concreto de malware (virus, gusanos, troyanos, spyware, phishing, spam, etc.) trabajan 24×7 ofreciendo una cobertura global. Para ello, se apoya en las Tecnologías TruPreventTM, un auténtico sistema global de alerta temprana formado por sensores estratégicamente distribuidos, que neutraliza nuevas amenazas y las envía a PandaLabs para su análisis en profundidad. De acuerdo con Av.Test.org, actualmente, PandaLabs es el laboratorio más rápido de la industria en proporcionar actualizaciones completas a los usuarios.
