安全研究人員于2015年1月13日發(fā)現(xiàn)了第一例f0xy惡意程序，隨后f0xy感染能力不斷的變化和提高，從最初只能感染W(wǎng)indows Vista和Microsoft OS系統(tǒng)用戶，到后來變種可感染W(wǎng)indows XP系統(tǒng)用戶，而到現(xiàn)在，殺毒軟件已經(jīng)很難發(fā)現(xiàn)它了。

[[127264]]

了解惡意程序f0xy

f0xy這個(gè)古怪的名字，是由其可執(zhí)行文件和注冊(cè)密鑰上出現(xiàn)的特殊字符“f0xy”而得來(如下圖)。

該惡意程序剛被開發(fā)出來的時(shí)候，只需簡(jiǎn)單的反病毒檢測(cè)即可檢測(cè)到，但現(xiàn)在f0xy已經(jīng)非常難對(duì)付了。

非常有意思的是，f0xy惡意軟件會(huì)動(dòng)態(tài)的改變其C&C(命令與控制)服務(wù)器，還善于利用俄羅斯最流行的社交網(wǎng)站VKontakte以及微軟Windows的傳輸服務(wù)特性。比如f0xy會(huì)去社交網(wǎng)站VKontakte讀取某人頭像下的評(píng)論(一條加密的字符串)，而這條評(píng)論就隱藏著C&C服務(wù)器URL……太機(jī)智了!

巧妙利用微軟Windows特性

一旦f0xy被植入到受害者機(jī)器上，它就會(huì)利用微軟后臺(tái)智能傳輸服務(wù)(BITS)下載攻擊負(fù)載(Payload)。

BITS (后臺(tái)智能傳輸服務(wù)) 是一個(gè)Windows組件，它可以在前臺(tái)或后臺(tái)異步傳輸文件，為保證其他網(wǎng)絡(luò)應(yīng)用程序獲得響應(yīng)而調(diào)整傳輸速度，并在重新啟動(dòng)計(jì)算機(jī)或重新建立網(wǎng)絡(luò)連接之后自動(dòng)恢復(fù)文件傳輸。

惡意程序f0xy的這一選擇非常聰明，因?yàn)槲④汢ITS傳輸文件時(shí)使用的是閑置網(wǎng)絡(luò)帶寬，所以一般的反病毒軟件無法查到。

參考來源：http://securityaffairs.co/wordpress/32940/malware/f0xy-cpuminer-malware.html