Компанія ESET повідомила про виявлення нової троянської програми під назвою USB Thief. Примітна вона тим, що використовує для поширення почесні USB-носії - зовнішні жорсткі диски або флешки.
Троянець запускається виключно з почесного USB-пристрою і не залишає ніяких слідів у системі, а користувач не помічає, що дані переміщуються з комп'ютера на зовнішній накопичувач. Програма прив'язується тільки до одного носія, що запобігає її витоку з системи. Зазначається, що шкідливий додаток має складну систему шифрування, що ускладнює його виявлення. Також USB Thief відрізняється хорошим захистом від копіювання і відтворення, що ще більше ускладнює процес детектування загрози.
Як правило, більшість подібних програм пропонує користувачеві запустити шкідливий файл видаючи його за легітимний додаток. У даному випадку, троянець використовує досить поширену практику зберігання портативних версій відомих програм - таких як NotePad++, TrueCrypt і багатьох інших. USB Thief впроваджує свій код у ланцюжок команд у форматі динамічно підключеної бібліотеки або розширення. При запуску програми шкідлива програма також починає діяти і працює у фоновому режимі.
В результаті проведеного дослідження фахівцями лабораторії ESET було з'ясовано, що троян націлений на крадіжку файлів певних форматів. Шкідливий додаток досліджує документи та зображення, що знаходяться на жорсткому диску комп'ютера, а також інші дані, записані за допомогою імпортованої програми WinAudit, після чого копіює їх на зовнішній носій і там шифрує. Коли USB-пристрій з USB Thief видаляється з системи, ніхто не зможе дізнатися про її компрометацію.
Як зазначає вірусний аналітик ESET Томаш Гардон, подібна програма створена для цілеспрямованих атак на системи, у яких немає доступу в Інтернет з міркувань безпеки. В даний час це далеко не найпоширеніший спосіб викрадення даних, але при цьому ж вкрай небезпечний, оскільки можливості зловреда при бажанні можна істотно розширити.
