Az Usbsteal trójai elsősorban a cserélhető adattároló eszközöket támadja, és az azokon tárolt fájlokat különböző titkosítások révén elérhetetlenné teszi a felhasználók számára.
Az Usbsteal trójai – ahogy a neve is mutatja – elsősorban USB interfészes adattárolókról, például pendrive-okról próbál meg adatokat szerezni. A trójai folyamatosan figyeli, hogy a felhasználó mikor csatlakoztat egy adattároló eszközt a fertőzött számítógéphez. Amennyiben ez megtörténik akkor a pendrive-on tárolt fájlokat – azok kiterjesztése alapján – lementi, és titkosítja.
Az Usbsteal további veszélye, hogy nem egyszerű felismerni, ugyanis az explorer.exe állomány megfertőzésével megpróbál elrejtőzni, és a háttérből végezni a kártékony tevékenységét.
Amikor az Usbsteal trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{874e009f-8a1a-32c6-86df-b9cde35ad754}
3. Folyamatosan figyeli, hogy a felhasználó mikor csatlakoztat a számítógépéhez cserélhető adattároló eszközt.
4. A cserélhető meghajtókon megkeresi az alábbi kiterjesztésű állományokat:
.ppt
.doc
.txt
.pdf
5. Titkosítja az összegyűjtött fájlokat, és azokat elmenti a következők szerint:
%Windir%\\\epair\{1E8AA1A5-7AAA-440C-8C9E-F46A724242F8} \[YYYYMMDD]\[véletlenszerű számok].dll
6. Megfertőzi az explorer.exe állományt.