木马的自我修炼：金融恶意程序f0xy最新变种，那是相当机智

安全研究人员于2015年1月13日发现了第一例f0xy恶意程序，随后f0xy感染能力不断的变化和提高，从最初只能感染Windows Vista和Microsoft OS系统用户，到后来变种可感染Windows XP系统用户，而到现在，杀毒软件已经很难发现它了。

了解恶意程序f0xy

f0xy这个古怪的名字，是由其可执行文件和注册密钥上出现的特殊字符“f0xy”而得来（如下图）。

该恶意程序刚被开发出来的时候，只需简单的反病毒检测即可检测到，但现在f0xy已经非常难对付了。

非常有意思的是，f0xy恶意软件会动态的改变其C&C（命令与控制）服务器，还善于利用俄罗斯最流行的社交网站VKontakte以及 微软Windows的传输服务特性。比如f0xy会去社交网站VKontakte读取某人头像下的评论（一条加密的字符串），而这条评论就隐藏着 C&C服务器URL……太机智了。

巧妙利用微软Windows特性

一旦f0xy被植入到受害者机器上，它就会利用微软后台智能传输服务（BITS）下载攻击负载（Payload）。

BITS (后台智能传输服务) 是一个Windows组件，它可以在前台或后台异步传输文件，为保证其他网络应用程序获得响应而调整传输速度，并在重新启动计算机或重新建立网络连接之后自动恢复文件传输。

恶意程序f0xy的这一选择非常聪明，因为微软BITS传输文件时使用的是闲置网络带宽，所以一般的反病毒软件无法查到。

[参考来源 securityaffairs ，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）]