Egy bitcoin-byányász célgép meglehetősen drága. Nem véletlen tehát, hogy a "bányászaton" alapuló virtuális valuták megmozgatták a vírusírók fantáziáját is. A január közepén felfedezett f0xy épp azon mesterkedik, hogy a fertőzött gépek erőforrásait virtuális valuták bányászására használja fel. Ezért különösen fontos számára, hosszú időre el tudjon a rejtőzni a gépünkön. Az f0xy név megjelenik a károkozó forráskódjában és a regisztrációs adatbázisban is. A regisztrációs adatbázisban azért hoz létre bejegyzést, hogy a Windows újraindítása után automatikusan betöltődjön a memóriába.

Ma már XP-től kezdve minden Windowson fut

Amikor a Websense kutatói január közepén rábukkantak az f0xy első nyomaira, a károkozó még csak csak Windows Vistán vagy annál újabb Windowson futott, de azóta már felbukkant a Windows XP-s gépeket is fertőző változata is. Ez már csak azért is érthető, hiszen még mindig tekintélyes mennyiségű XP-s gép van világszerte, és ezekre a gépekre egy ideje biztonsági frissítések sincsenek.

A program kódja teljesen hétköznapi. Nincs obfuszkálva (obfuscation: úgy tesznek olvashatatlanná egy kódot, hogy a benne található elnevezéseket értelmetlen karaktersorokra cserélik), letisztult, és olyan eljárásokat alkalmaz, amelyeket a teljesen ártalmatlan szoftverek – írta a Biztonságportál.

Mivel azonban a komponenseit egy távoli kiszolgálóról kell letöltenie, van azonban két trükkös megoldása, amiket a vezérlőszerverével való kommunikációjában használ.

Az első trükk az, hogy a távoli szerver címét nem a kódjában tárolja, hanem egy API-n keresztül az orosz közösségépítő, a Vkontakte egyik profiloldalához kapcsolódik. Ezen az oldalon található egy webcímet tartalmazó bejegyzés, hozzászólás, ami az éppen működő vezérlőszerverére mutat, és amelyről letöltheti a szükséges fájljait. (A Vkontakte egy orosz Facebook-klón, amelyet alapítója, az orosz Zuckerbergként emlegetett Pavel Durov a legnagyobb orosz közösségi oldallá fejlesztett. A magyar hírekbe két éve került először, amikor kiderült, hogy az orosz kormány rászállt az oldalra, és tavalyra ki is szorították Durovot a cégből.)

A második trükkre a letöltéshez van szüksége. A hálózati kommunikációja során kiaknázza a háttérben futó intelligens átviteli szolgáltatásban, a BITS-ben (Background Intelligent Transfer) rejlő lehetőségeket. A BITS feladata, hogy megőrizze a hálózati szoftverek válaszképességét, és minél jobban kihasználhatóvá tegye a hálózati adatforgalomban lévő üresjárati sávszélességet. Ezt a szolgáltatást használja a Windows Update és a Windows Defender is a frissítések letöltésére. És mivel a BITS szerves része a Windowsnak, így használata nem kelt gyanút a víruskeresőkben. A f0xy a bitsadmin.exe meghívásával és megfelelő paraméterezésével így zavartalanul letöltheti a komponenseit anélkül, hogy a biztonsági szoftverek szokatlan eseményt jeleznének.

Már ismerik a víruskeresők, frissítsen!

Amikor minden a gépre kerül, az f0xy belekezdhet a lényegi munkába: a nyílt forráskódú CPUMiner alkalmazás bevonásával nekilát virtuális pénzek (Litecoin, Bitcoin) bányászatához, amihez a fertőzött rendszer erőforrásait használja.

Szerencsére egyre több víruskereső ismeri fel a kártékony programot. Ezért érdemes is frissíteni, ha nem akarunk mások hasznára bányászni.