Как работает троян
USB Thief – уникальная троянская программа. Она «привязывается» непосредственно к конкретному USB-устройству, что исключает утечку вредоноса из системы.
Программа имеет многоступенчатую систему шифрования, поэтому её крайне сложно обнаружить и проанализировать. Кроме того, USB Thief включает механизмы защиты от копирования и воспроизводства, чтобы не оставлять следов.
В отличие от многих других троянских программ, которые обычно запускаются по поддельному ярлыку популярной программы или с помощью файла Autorun в корне флешки, USB Thief вставляет свой код в портативные версии Firefox, NotePad++, TrueCrypt и других распространенных приложений. Маскируясь под динамически подключаемую библиотеку (DLL) или плагин, троян действует в фоновом режиме после запуска пользователем приложения.
Что ворует USB Thief
Троянская программа ищет на компьютере жертвы файлы заданных форматов. Так, версия вредоноса, исследованного ESET, сохраняла изображения, документы и данные, собранные с использованием импортированного приложения WinAudit. Затем USB Thief выполняет шифрование файлов. Как только флешка извлекается из компьютера, о том, что здесь поработал вредонос, никто узнать не сможет.
Что делать
Вирусный аналитик ESET Томаш Гардон считает, что USB Thief создан для таргетированных атак на системы, которые из соображений безопасности не подключены к интернету. Способ кражи данных не слишком распространен, однако достаточно опасен.
Чтобы не стать жертвой USB Thief, рекомендуется выполнять глубокую проверку всех съемных носителей. Портативным версиям программ стоит предпочесть онлайн-приложения от известных разработчиков.
