USB veri çalma truva atı

Usbsteal Truva Atı, öncelikle çıkarılabilir depolama aygıtlarına saldırır ve bunlarda depolanan dosyaları çeşitli şifrelemeler yoluyla kullanıcılar tarafından erişilemez hale getirir.

Usbsteal Truva Atı, adından da anlaşılacağı gibi, öncelikle flash sürücüler gibi bir USB arabirimine sahip depolama aygıtlarından veri elde etmeye çalışır. Trojan, bir kullanıcı bir depolama cihazını virüslü bir bilgisayara bağladığında sürekli olarak izler. Bu olursa, flash sürücüde depolanan dosyalar uzantılarına göre kaydedilir ve şifrelenir.

Usbsteal'in bir başka tehlikesi de, explorer.exe dosyasına bulaşarak ve arka planda kötü niyetli faaliyetini gerçekleştirerek onu gizlemeye çalıştığı için tespit edilmesinin kolay olmamasıdır.

Usbsteal Truva Atı başladığında, aşağıdaki eylemleri gerçekleştirir:

1. Aşağıdaki dosyaları oluşturun:

2. Kayıt veritabanında aşağıdaki girişi oluşturun:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{874e009f-8a1a-32c6-86df-b9cde35ad754}

3. Kullanıcı, bilgisayarına çıkarılabilir bir depolama aygıtı bağladığında sürekli olarak izler.

4. Çıkarılabilir sürücülerde aşağıdaki uzantılara sahip dosyaları arayın:
. Ppt
.doc
. Txt
.pdf

5. Toplanan dosyaları şifreler ve aşağıdaki şekilde kaydeder:
%Windir%\\\epair\{1E8AA1A5-7AAA-440C-8C9E-F46A724242F8} \[YYYYMMDD]\[véletlenszerű számok].dll

6. Explorer.exe dosyasına bulaşır.