安全研究人員于2015年1月13日發(fā)現(xiàn)了第一例f0xy惡意程序,隨后f0xy感染能力不斷的變化和提高,從最初只能感染W(wǎng)indows Vista和Microsoft OS系統(tǒng)用戶,到后來變種可感染W(wǎng)indows XP系統(tǒng)用戶,而到現(xiàn)在,殺毒軟件已經(jīng)很難發(fā)現(xiàn)它了。
了解惡意程序f0xy
f0xy這個(gè)古怪的名字,是由其可執(zhí)行文件和注冊(cè)密鑰上出現(xiàn)的特殊字符“f0xy”而得來(如下圖)。
該惡意程序剛被開發(fā)出來的時(shí)候,只需簡(jiǎn)單的反病毒檢測(cè)即可檢測(cè)到,但現(xiàn)在f0xy已經(jīng)非常難對(duì)付了。
非常有意思的是,f0xy惡意軟件會(huì)動(dòng)態(tài)的改變其C&C(命令與控制)服務(wù)器,還善于利用俄羅斯最流行的社交網(wǎng)站VKontakte以及微軟Windows的傳輸服務(wù)特性。比如f0xy會(huì)去社交網(wǎng)站VKontakte讀取某人頭像下的評(píng)論(一條加密的字符串),而這條評(píng)論就隱藏著C&C服務(wù)器URL……太機(jī)智了!
巧妙利用微軟Windows特性
一旦f0xy被植入到受害者機(jī)器上,它就會(huì)利用微軟后臺(tái)智能傳輸服務(wù)(BITS)下載攻擊負(fù)載(Payload)。
BITS (后臺(tái)智能傳輸服務(wù)) 是一個(gè)Windows組件,它可以在前臺(tái)或后臺(tái)異步傳輸文件,為保證其他網(wǎng)絡(luò)應(yīng)用程序獲得響應(yīng)而調(diào)整傳輸速度,并在重新啟動(dòng)計(jì)算機(jī)或重新建立網(wǎng)絡(luò)連接之后自動(dòng)恢復(fù)文件傳輸。
惡意程序f0xy的這一選擇非常聰明,因?yàn)槲④汢ITS傳輸文件時(shí)使用的是閑置網(wǎng)絡(luò)帶寬,所以一般的反病毒軟件無法查到。