Onderzoekers van SophosLabs hebben een trojan ontdekt die is ontworpen om afbeeldingen en memory dumps te kopiëren van een geïnfecteerd systeem. De bestanden worden naar een ftp-server geüpload die in Irak zou staan.
De trojan, genaamd Troj/PixSteal-A, zoekt op de C-, D- en E-schijven van een besmette Windows-computer naar bestanden met de extensie .jpg, .jpeg of .dmp en negeert alle andere bestanden. Vervolgens worden deze naar een ftp-server in Irak geüpload.
Op de server waar de trojan contact mee zocht vonden de SophosLabs-onderzoekers onder andere afbeeldingen van ingescande documenten en dumps van Google Talk-gesprekken. Omdat de trojan zich specifiek richt op afbeeldingen en memory dumps vermoeden de onderzoekers dat de makers op zoek zijn naar vertrouwelijke informatie. Zij zouden met deze informatie bedrijven of personen kunnen afpersen. Tevens kan bepaalde persoonsgebonden informatie gebruikt worden voor het plegen van fraude.
De onderzoekers sluiten niet uit dat de trojan ook ontworpen kan zijn voor spionagedoeleinden. Verder stellen zij dat het niet alleen voor deze specifieke trojan, maar in alle gevallen verstandig is om in de firewall ftp-verkeer te blokkeren omdat het protocol sterk verouderd en fundamenteel onveilig zou zijn.