安全研究人员于2015年1月13日发现了第一例f0xy恶意程序,随后f0xy感染能力不断的变化和提高,从最初只能感染Windows Vista和Microsoft OS系统用户,到后来变种可感染Windows XP系统用户,而到现在,杀毒软件已经很难发现它了。
了解恶意程序f0xyf0xy这个古怪的名字,是由其可执行文件和注册密钥上出现的特殊字符“f0xy”而得来(如下图)。
该恶意程序刚被开发出来的时候,只需简单的反病毒检测即可检测到,但现在f0xy已经非常难对付了。
非常有意思的是,f0xy恶意软件会动态的改变其C&C(命令与控制)服务器,还善于利用俄罗斯最流行的社交网站VKontakte以及 微软Windows的传输服务特性。比如f0xy会去社交网站VKontakte读取某人头像下的评论(一条加密的字符串),而这条评论就隐藏着 C&C服务器URL……太机智了。
巧妙利用微软Windows特性一旦f0xy被植入到受害者机器上,它就会利用微软后台智能传输服务(BITS)下载攻击负载(Payload)。
BITS (后台智能传输服务) 是一个Windows组件,它可以在前台或后台异步传输文件,为保证其他网络应用程序获得响应而调整传输速度,并在重新启动计算机或重新建立网络连接之后自动恢复文件传输。
恶意程序f0xy的这一选择非常聪明,因为微软BITS传输文件时使用的是闲置网络带宽,所以一般的反病毒软件无法查到。