木马的自我修炼:金融恶意程序f0xy最新变种,那是相当机智

jopen 10年前

原文  http://www.freebuf.com/news/58072.html

安全研究人员于2015年1月13日发现了第一例f0xy恶意程序,随后f0xy感染能力不断的变化和提高,从最初只能感染Windows Vista和Microsoft OS系统用户,到后来变种可感染Windows XP系统用户,而到现在,杀毒软件已经很难发现它了。

了解恶意程序f0xy

f0xy这个古怪的名字,是由其可执行文件和注册密钥上出现的特殊字符“f0xy”而得来(如下图)。

木马的自我修炼:金融恶意程序f0xy最新变种,那是相当机智

木马的自我修炼:金融恶意程序f0xy最新变种,那是相当机智

该恶意程序刚被开发出来的时候,只需简单的反病毒检测即可检测到,但现在f0xy已经非常难对付了。

非常有意思的是,f0xy恶意软件会动态的改变其C&C(命令与控制)服务器,还善于利用俄罗斯最流行的社交网站VKontakte以及 微软Windows的传输服务特性。比如f0xy会去社交网站VKontakte读取某人头像下的评论(一条加密的字符串),而这条评论就隐藏着 C&C服务器URL……太机智了。

巧妙利用微软Windows特性

一旦f0xy被植入到受害者机器上,它就会利用微软后台智能传输服务(BITS)下载攻击负载(Payload)。

BITS (后台智能传输服务) 是一个Windows组件,它可以在前台或后台异步传输文件,为保证其他网络应用程序获得响应而调整传输速度,并在重新启动计算机或重新建立网络连接之后自动恢复文件传输。

恶意程序f0xy的这一选择非常聪明,因为微软BITS传输文件时使用的是闲置网络带宽,所以一般的反病毒软件无法查到。

[参考来源 securityaffairs ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

</div>