Questo codice maligno è progettato per rubare ogni tipo di password. In più, ha una caratteristica molto pericolosa: la capacità di raccogliere le informazioni archiviate nella funzione di autocompletamento dei browser Internet usati sul PC. Semplicemente digitando uno o due caratteri degli username o delle password, questa funzione completa automaticamente l’inserimento nei form per l’accesso ai servizi Internet più utilizzati dall’utente.

Per fare questo il Trojan apre un’entrata nel Registro di Windows dove questi dati sono memorizzati. Sebbene criptati, esistono applicazioni progettate per decifrarli.

Inoltre, Therat.B ha una funzione di keylogger. Questo significa che registra le informazioni inserite dall’utente tramite la tastiera, che possono contenere dati interessanti per un cyber criminale: username, password, numeri di conto corrente bancario o di carta di credito, PIN, etc..

Una volta installato sul computer, il Trojan crea numerosi file nella directory di sistema di Windows, tra cui SOCKETIME.EXE, che è una copia del virus, e 32THERAT.LOG, nel quale vengono immagazzinate le informazioni rubate. I dati vengono poi inviati al cyber criminale ad un indirizzo e-mail predeterminato. Therat.B modifica anche un’entrata nel registro di Windows al fine di assicurarsi il suo funzionamento ogni volta che il computer viene riavviato.

Il Trojan non è progettato per trasmettere dati con mezzi propri, perciò necessita dell’intervento di un utente malintenzionato. Quindi, si può trovare in ogni tipo di messaggio e-mail, download di file da Internet o dai network P2P, etc.

Per tutti gli utenti che volessero analizzare il proprio PC è disponibile la soluzione gratuita online di Panda Software, TotalScan (http://www.pandasoftware.com/totalscan) o la versione beta di NanoScan (http:/www.nanoscan.com), lo scanner online che rileva il malware attivo in meno di un minuto.