Therat.B

Therat.B realiza las siguientes acciones:

• Registra las pulsaciones de teclado introducidas por el usuario durante la navegación.
• Almacena en un archivo todos los nombres de usuario, contraseñas y direcciones de páginas web a las que accede el usuario.
• Además, accede a la siguiente ruta del Registro de Windows:
  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\SPW
  En esta entrada quedan almacenadas todas las contraseñas que han sido autocompletadas en el navegador del usuario. Pese a que las contraseñas aparecen encriptadas, existen utilidades que pueden desencriptarlas facilmente.
• Finalmente, este troyano, envía la información recogida a su creador a una dirección de correo. electrónico.

Therat.B crea los siguientes archivos en el directorio de sistema de Windows:

• SOCKETIME.EXE. Este archivo es una copia del troyano.
• REGHND32.DLL.
• 32THERAT.LOG, en el que almacena la información recopilada por Therat.B.

Therat.B modifica la siguiente entrada del Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
  Shell = Explorer.exe
  Cambia esta entrada por:
  HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
  Shell = Explorer.exe socketime.exe
  Mediante esta modificación, Therat.B consigue ejecutarse cada vez que Windows se inicia.

Therat.B no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Therat.B está escrito en el lenguaje de programación Visual C++. Este troyano tiene un tamaño de 5973 Bytes cuando está comprimido mediante FSG v2.0.

Además, ha sido creado con un constructor conocido como The Rat! 5.0XP.