ร้านซ่อมคอมฯนายพอดู

การขโมยรหัสผ่านจากคุณลักษณะ AutoComplete ของอินเทอร์เน็ตบราวเซอร์ ซึ่งทำหน้าที่ป้อนชื่อผู้ใช้หรือรหัสผ่านลงในฟอร์มโดยอัตโนมัติทันทีที่ผู้ ใช้ป้อนอักขระเพียงหนึ่งหรือสองตัวในการเข้าสู่บริการต่างๆ ทางอินเทอร์เน็ต

การขโมยรหัสผ่านดังกล่าวเริ่มจากโทรจันจะเข้าถึงข้อมูลใน Windows Registry ซึ่งใช้เก็บรหัสผ่านดังกล่าว และแม้ว่าจะมีการเข้ารหัส แต่แอพพลิเคชันสำหรับถอดรหัสก็มีอยู่มากมาย

ยิ่งไปกว่านั้น Therat.B ยังบันทึกการกดแป้นพิมพ์ของผู้ใช้เช่น ชื่อผู้ใช้ รหัสผ่าน หมายเลขบัญชีธนาคารหรือหมายเลขบัตรเครดิต รหัส PIN ฯลฯ

 

การทำงาน

โทรจันจะสร้างไฟล์จำนวนมากขึ้นในไดเร็กทอรีระบบของ Windows รวมทั้งไฟล์ SOCKETIME.EXE ซึ่งเป็นสำเนาของโทรจัน และไฟล์ 32THERAT.LOG ซึ่งเก็บข้อมูลที่ขโมยได้ จากนั้นจะส่งข้อมูลนี้ไปยังอาชญากรโดยทางที่อยู่อีเมล์ที่กำหนด

Therat.B ยังแก้ไขข้อมูลใน Windows Registry เพื่อให้ตัวเองสามารถทำงานได้ทุกครั้งที่เปิดเครื่องคอมพิวเตอร์

โทรจันตัวนี้ไม่สามารถแพร่กระจายด้วยตัวเองได้ การแพร่กระจายกระทำโดยผู้ใช้ที่มุ่งร้ายโดยผ่านทางอีเมล์ การดาวน์โหลดผ่านอินเทอร์เน็ตหรือเครือข่าย P2P และอื่นๆ