ESET 公司的研究人员最近发现了一种复杂的 USB 木马，它可以悄然窃取受害系统上的数据，不会留下痕迹。此外，它还带有一种保护机制，使自身难以被检测、复制、分析。

ESET 公司将这种木马命名为 USB Thief（USB窃贼） 。与一般 USB 木马家族的不同之处在于，恶意软件拷贝和 U 盘之间是一一对应的。

一般 USB 病毒利用自运行和快捷方式文件运行，USB窃贼则依赖于一个现状：用户经常会在 U 盘上存储移动版的 Firefox 、 NotePad++ 和其它常见应用。

ESET 表示，这种恶意软件会通过伪装成插件或 DLL 文件，将自身注入到这类应用的运行链条中。

ESET 称，这种恶意软件会伪装成插件或 DLL 文件，将自身注入到这类应用的运行链条中。当用户执行应用程序时，也会让木马开始在后台运行。

这种恶意软件拥有六种组件：四个可执行程序和两个配置文件。

为了保证自身不被从 U 盘中拷贝出来，遭到反向工程，有些 USB Thief 的文件使用 USB 设备本身的 ID 和几种磁盘属性作为 AES 密钥，进行了加密。感染的每个阶段，执行文件程序的名称都会有所变化，因为它们是基于文件内容和创建时间生成的。

这一机制能够确保其自身不会在攻击者植入病毒的 USB 存储器之外的其它设备上运行，阻碍研究人员分析。

第一阶段的加载器负责借助移动版应用执行该木马，并检查 USB 设备是否被设为可读状态，以确定能否将窃取到的信息存在 U 盘上。

第二阶段，加载器校验母进程的名称，确保自身不在分析环境中执行，第三阶段，加载器检查是否存在反病毒软件。

最后一个攻击载荷会被注入到新建立的进程中，以窃取受感染设备的信息，包括图片、文档、Windows 注册表树、所有可用存储器的文件列表、WinAudit（一种 Windows 库存模块）收集到的数据。恶意软件会使用椭圆曲线加密算法对偷到的信息进行加密，并存储在 U 盘上。

由于恶意软件是在 U盘上执行的，感染不会在目标设备上留下任何痕迹。ESET 专家认为这种威胁是入侵物理隔绝系统的绝佳手段。

由于带有一些独到的特性，这种恶意软件非常特殊。不过，主流的网络安全措施还是能够防护它的。最重要的是，只要有可能，就应该禁用 USB 端口；如果做不到，应当部署严格的策略，限制其使用。对公司各岗位员工进行网络安全培训是相当可取的措施，如果可能，还应该增加实地测试。

USB Thief 并不是 ESET 分析过的唯一一种 U 盘病毒。ESET 还分析过 Pawn Storm 、 APT28 、 Sednit 等小组用于入侵物理隔离网络的工具。