USB Thief заражает флешки с переносными версиями популярных приложений (Firefox, NotePad++, TrueCrypt и других). Такие версии используются для временной работы с приложениями на чужом компьютере и после работы не оставляют на них ни файлов, ни записей в реестре. Загрузчик USB Thief маскируется под плагин или DLL-библиотеку приложения. Имена файлов с остальными его компонентами формируются путем криптографических операций и зависят от дат создания и уникальных идентификаторов флеш-дисков, а сами файлы шифруются. Все это резко затрудняет анализ вируса без физического доступа к тому переносному устройству, для которого вирус был создан.
Украденные данные USB Thief не пытается передать через Интернет, а записывает на ту же флешку. Не исключено, что он является лишь одним из компонентов более крупной системы кибершпионажа, считают специалисты.