木馬的自我修煉：金融惡意程序f0xy最新變種，那是相當機智

安全研究人員于2015年1月13日發現了第一例f0xy惡意程序，隨后f0xy感染能力不斷的變化和提高，從最初只能感染Windows Vista和Microsoft OS系統用戶，到后來變種可感染Windows XP系統用戶，而到現在，殺毒軟件已經很難發現它了。

了解惡意程序f0xy

f0xy這個古怪的名字，是由其可執行文件和注冊密鑰上出現的特殊字符“f0xy”而得來（如下圖）。

該惡意程序剛被開發出來的時候，只需簡單的反病毒檢測即可檢測到，但現在f0xy已經非常難對付了。

非常有意思的是，f0xy惡意軟件會動態的改變其C&C（命令與控制）服務器，還善于利用俄羅斯最流行的社交網站VKontakte以及 微軟Windows的傳輸服務特性。比如f0xy會去社交網站VKontakte讀取某人頭像下的評論（一條加密的字符串），而這條評論就隱藏著 C&C服務器URL……太機智了。

巧妙利用微軟Windows特性

一旦f0xy被植入到受害者機器上，它就會利用微軟后臺智能傳輸服務（BITS）下載攻擊負載（Payload）。

BITS (后臺智能傳輸服務) 是一個Windows組件，它可以在前臺或后臺異步傳輸文件，為保證其他網絡應用程序獲得響應而調整傳輸速度，并在重新啟動計算機或重新建立網絡連接之后自動恢復文件傳輸。

惡意程序f0xy的這一選擇非常聰明，因為微軟BITS傳輸文件時使用的是閑置網絡帶寬，所以一般的反病毒軟件無法查到。

[參考來源 securityaffairs ，轉載請注明來自FreeBuf黑客與極客（FreeBuf.COM）]