#akış ESET'in keşfettiği yeni Trojan(USB Thief) internet bağlantısı olmayan sistemlerden veri çalmak için tasarlanmış.USB stick'lerde bulunan bu Trojan temel olarak 3 executable'dan oluşuyor ve her biri sonraki komponenti(2 encrypt edilmiş konfigürasyon dosyası ve asıl işi yapacak olan dosya)yüklüyor.İlk executable popüler uygulamaların (Firefox,TrueCrypt) portable versiyonlarının eklentisi veya DLL'i olarak USB stick'e konuyor ve adıda ona göre ayarlanıyor.Bu uygulamaların portable versiyonlarını çalıştırdığınızda ilk executable da çalışıyor ve kendisinin SHA512 hash'ini hesaplıyor ve sonucu kendi oluşturma tarihiyle birleştiriyor,ortaya çıkan veri 2.executable'ın adı ve bu sayede doğrulama yaparak 2.executable'ı çalıştırıyor.2.executable 1.exe tarafından başlatılıp başlatılmadığını kontrol ediyor ve daha sonra 128-bit AES key(USB stick'in benzersiz ID sinden türetilmiş) ile encrypt edilmiş olan 1.konfigürasyon dosyasını decrypt ediyor .1.konfigürasyon dosyasının adıda 2.executable'ın SHA512 hash'i ve oluşturulma tarihi.2.exe daha sonra 3.exe'i çalıştırıyor onun adıda 1.konfigürasyon dosyasının SHA512 hash'i ve oluşturulma tarihi.Daha sonra final payload(yukarda bahsettiğim asıl işi yapacak olan dosya) yeni svchost.exe işlemi olarak sisteme enjekte ediliyor ve 2.konfigürasyon dosyasından hangi verilerin çalınacağı,nerede depolanacağı,nasıl encrypt edileceği gibi komutları alıyor.Daha sonra verileri çalıp yine USB stick'de encrypt edilmiş bir şekilde saklıyor.Bu kadar uğraşın sonucu olarak USB stick çıkarıldığında sistemde hiçbir iz kalmıyor ve malware'in analiz edilmesini aşırı derece zorlaştırıyor çünkü dosyaları farklı bir sisteme kopyaladığınız zaman oluşturulma tarihleri değişiyor ve zincir kırılıyor ekstra olarak ise 128-bit AES key USB stick'in benzersiz ID'sinden türetildiği için 1.konfigürasyon dosyası decrypt edilemiyor.
Sonuç olarak adamlar yapmış yani 😀
