# Agent.btz > Tipo: **malware** · S0092 · [MITRE ATT&CK](https://attack.mitre.org/software/S0092) ## Descrição [[s0092-agentbtz|Agent.btz]] é um worm que se propaga principalmente por meio de dispositivos removíveis, como pen drives USB. Em 2008, supostamente infectou redes classificadas do Departamento de Defesa dos EUA, desencadeando a Operação Buckshot Yankee - uma das maiores operações de limpeza de rede já conduzidas pelos militares americanos. O incidente levou diretamente à criação do US Cyber Command. O malware emprega [[t1091-replication-through-removable-media|T1091 - Replication Through Removable Media]] para se propagar autonomamente entre sistemas isolados (air-gapped), enquanto utiliza [[t1052-001-exfiltration-over-usb|T1052.001 - Exfiltration over USB]] para exfiltrar dados coletados. As capacidades de reconhecimento incluem [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] e [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]], mapeando a topologia do ambiente comprometido. Dados coletados são empacotados via [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]] antes da exfiltração. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1091-replication-through-removable-media|T1091 - Replication Through Removable Media]] - [[t1052-001-exfiltration-over-usb|T1052.001 - Exfiltration over USB]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Referências - [MITRE ATT&CK - S0092](https://attack.mitre.org/software/S0092)