木马的自我修炼:金融恶意程序f0xy最新变种,那是相当机智
安全研究人员于2015年1月13日发现了第一例f0xy恶意程序,随后f0xy感染能力不断的变化和提高,从最初只能感染Windows Vista和Microsoft OS系统用户,到后来变种可感染Windows XP系统用户,而到现在,杀毒软件已经很难发现它了。
了解恶意程序f0xy
f0xy这个古怪的名字,是由其可执行文件和注册密钥上出现的特殊字符“f0xy”而得来(如下图)。
该恶意程序刚被开发出来的时候,只需简单的反病毒检测即可检测到,但现在f0xy已经非常难对付了。
非常有意思的是,f0xy恶意软件会动态的改变其C&C(命令与控制)服务器,还善于利用俄罗斯最流行的社交网站VKontakte以及 微软Windows的传输服务特性。比如f0xy会去社交网站VKontakte读取某人头像下的评论(一条加密的字符串),而这条评论就隐藏着 C&C服务器URL……太机智了。
巧妙利用微软Windows特性
一旦f0xy被植入到受害者机器上,它就会利用微软后台智能传输服务(BITS)下载攻击负载(Payload)。
BITS (后台智能传输服务) 是一个Windows组件,它可以在前台或后台异步传输文件,为保证其他网络应用程序获得响应而调整传输速度,并在重新启动计算机或重新建立网络连接之后自动恢复文件传输。
恶意程序f0xy的这一选择非常聪明,因为微软BITS传输文件时使用的是闲置网络带宽,所以一般的反病毒软件无法查到。
[参考来源 securityaffairs ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]
相关推荐
zcy 2020-11-16
nodid 2020-10-29
VinFOSSIDce 2020-10-28
nodid 2020-10-28
关于学习本身 2020-09-24
网络菜市场 2020-09-23
机器之心 2020-09-22
cynthiachf 2020-09-18
Veechange 2020-09-01
zcc 2020-08-26
hjding 2020-08-25
simonzhao0 2020-08-17
shayuchaor 2020-08-17
智链ChainNova 2020-08-17
EchoYY 2020-08-12
ChinaWin 2020-08-13
CSDN人工智能头条 2020-08-11
gcttong00 2020-08-11
xiaoemo0 2020-08-09