安全研究人員于2015年1月13日發現了第一例f0xy惡意程序，隨后f0xy感染能力不斷的變化和提高，從最初只能感染Windows Vista和Microsoft OS系統用戶，到后來變種可感染Windows XP系統用戶，而到現在，殺毒軟件已經很難發現它了。

[[127264]]

了解惡意程序f0xy

f0xy這個古怪的名字，是由其可執行文件和注冊密鑰上出現的特殊字符“f0xy”而得來(如下圖)。

該惡意程序剛被開發出來的時候，只需簡單的反病毒檢測即可檢測到，但現在f0xy已經非常難對付了。

非常有意思的是，f0xy惡意軟件會動態的改變其C&C(命令與控制)服務器，還善于利用俄羅斯最流行的社交網站VKontakte以及微軟Windows的傳輸服務特性。比如f0xy會去社交網站VKontakte讀取某人頭像下的評論(一條加密的字符串)，而這條評論就隱藏著C&C服務器URL……太機智了!

巧妙利用微軟Windows特性

一旦f0xy被植入到受害者機器上，它就會利用微軟后臺智能傳輸服務(BITS)下載攻擊負載(Payload)。

BITS (后臺智能傳輸服務) 是一個Windows組件，它可以在前臺或后臺異步傳輸文件，為保證其他網絡應用程序獲得響應而調整傳輸速度，并在重新啟動計算機或重新建立網絡連接之后自動恢復文件傳輸。

惡意程序f0xy的這一選擇非常聰明，因為微軟BITS傳輸文件時使用的是閑置網絡帶寬，所以一般的反病毒軟件無法查到。

參考來源：http://securityaffairs.co/wordpress/32940/malware/f0xy-cpuminer-malware.html