Cisco公司的Talos安全情报与研究小组在最近几个月中和另外一家网络安全公司flashpoint密切合作分析了Floki木马，研究发现Floki木马就是臭名昭著的Zeus家族的最新变种，Zeus是一款众所周知的银行木马，在葡萄牙语、英语和俄语区，2011年Zeus 2.0.8.9源代码被泄露后，其家族繁衍的速度就难以控制了，Zeus还是当前许多针对桌面用户的银行木马的基础。跟Dridex或者其它网络注入木马不同，Zeus利用浏览器中间人键盘日志和形式抓取方式窃取客户数据。

之所以说，Floki是最新的变种，是因为它的源代码是基于Zeus源代码开发的并且还包括一些新功能，比如防检测功能。

Talos团队称：

该恶意软件的特别之处就在于它并不是对Zeus木马特点的简单复制，而是通过增加一些比较先进的功能来让其成为新一代的犯罪工具。经过不断地更新，目前该木马已具备了反检测技术和使用Tor网络。

Talos的恶意软件研究人员在Floki中发现了一个新的源代码，允许Tor网络实施威胁，但目前该功能似乎还不太好用。

在我们对Floki的分析过程中，发现其对泄露的Zeus源代码中的点滴木马文件(dropper)机制进行了修改，目的是使Floki更难以被检测到。我们还发现了允许Floki使用Tor网络的新代码。

 根据以下5个证据，Flashpoint的安全专家判定它的开发者应该就在巴西。

1.开发者的通讯语音使用的是葡萄牙语
2.目标系统的默认语言设置为葡萄牙语
3.软件的域或IP范围都定位在巴西
4. 默认时区设置的是Brazil UTC -03：00
5. Flashpoint分析师获得的其他信息

目前Flashpoint 已确定“flokibot”主要针对巴西、俄罗斯和英语区。PoS恶意软件对零售业及酒店行业等产生的威胁非常严重，尤其是在元旦的消费高峰，所以消费者在刷卡时一定要注意安全。