Ботнет Pushdo проник на Microsoft Live через звуковую CAPTCHA

[SDA]

Вездесущий спам-ботнет Pushdo начал использовать новый способ проникновения на принадлежащий компании Microsoft сайт Live.com. Этот метод основан на использовании слабых сторон в работе системы звуковой CAPTCHA, призванной предотвратить эксплуатацию популярного почтового сервиса автоматизированными скриптами.

Обновленные боты на входящих в зомби-сеть скомпрометированных машинах получают от Live.com звуковую CAPTCHA и выдают правильный вариант ответа в течение 10 секунд, что позволяет им проходить процедуру регистрации новых почтовых аккаунтов на Live.com, которые внесены в “белые списки” большинства спам-фильтров.

По данным исследователя Webroot Эндрю Брандта, за семь минут тестового периода, в течение которых он позволил вредоносному боту действовать свободно, тот продемонстрировал весьма высокий процент подбора правильных ответов. В большинстве случаев корректный вариант ответа поступал со второго раза, один раз боту потребовалось шесть попыток и один раз – всего одна.

Звуковая CAPTCHA отличается от обычной тем, что она предназначена, в основном, для людей со слабым зрением, поэтому представленные символы не отображаются в графическом виде, а проговариваются голосом. Брандт утверждает, что столкнулся с попыткой обхода этого вида CAPTCHA впервые.

Эксперт предполагает, что для разгадывания звуковой CAPTCHA данные могут отсылаться специально нанятым для этого людям или обрабатываться программами для распознавания голоса. С полной версией его отчета можно ознакомиться http://blog.webroot.com/2010/03/22/p...udio-captchas/

[grobik]

Специалисты компании LastLine сообщили о том, что им удалось нарушить работу известного ботнета Pushdo. В итоге поток рассылаемого им спама практически полностью иссяк.


Эксперты смогли обнаружить 30 серверов управления ботнетом Pushdo и отключить 20 из них. Успех операции подтверждают данные Security Labs, свидетельствующие о том, что эта зомби-сеть почти полностью прекратила отправку электронного мусора.

Будучи известным также под именем Cutwail, ботнет Pushdo долгое время отвечал за рассылку спама, с помощью которого киберпреступники пытались обманным путем вынудить пользователей установить на свои компьютеры вредоносное ПО. В пиковые моменты своей активности Pushdo рассылал до 20% всего спама в мире. Также эта зомби-сеть прославилась своей способностью обходить аудио-капчу на сервисе Microsoft Live.

Еще в прошлом году федеральные власти США прекратили деятельность оператора 3FN, считавшегося основным провайдером Pushdo, однако уровень спама не упал. Впоследствии выяснилось, что боты продолжили его рассылку, согласуясь со старыми инструкциями, а затем деятельность серверов управления была восстановлена.

Впрочем, несмотря на то, что на сей раз все прошло так, как задумывалось, сотрудники компании LastLine отметили один встревоживший их факт – некоторые провайдеры проигнорировали просьбы об отключении серверов Pushdo несмотря на то, что им были предоставлены исчерпывающие данные об их вредоносной активности.
http://www.xakep.ru/post/53088/
http://labs.m86security.com/2010/08/...mbot-crippled/
http://krebsonsecurity.com/2010/08/r...o-spam-botnet/