Специалисты компании Webroot обнаружили разновидность спам-трояна Pushdo, способного продираться через аудио-капчу почтовых веб-интерфейсов Microsoft. В антивирусной компании считают, что подобным функционалом троянские программы наделяются впервые. Аудио-капча почтовых сервисов Hotmail, Live.com и MSN работает вполне предсказуемо: голос произносит последовательность из 10 цифр на фоне искусственного шума, а человек, желающий отправить письмо, должен эти цифры распознать и ввести в соответствующее поле. Капча срабатывает не всегда, а только в случае, если с одного аккаунта рассылается слишком много писем. Очевидно, создатели аудио-капчи предполагали, что она станет неодолимой преградой для автоматических систем генерации рассылок. Однако, как это ранее было с другими навороченными капчами, звуковую постигла та же участь. Сотрудники Webroot провели семиминутный эксперимент, в течение которого новая разновидность Pushdo занималась своими чёрными делами на заражённой системе, а бот проявил удивительное мастерство в деле распознавания звукового "пароля". В большинстве случаев он справлялся с этой задачей со второй попытки, хотя однажды ему хватило на распознавание одного раза, а в другом случае это заняло целых шесть попыток. В дополнение к этому, бот время от времени выходил из Hotmail- или Live-аккаунта, а потом логинился к нему от имени другого пользователя. Очевидно, это сделано с целью затруднить обнаружение созданных (или взломанных) злоумышленниками учётных записей, от которых рассылался спам. Pushdo, согласно статистике M86 Security, является в настоящий момент третьим по производительности спам-ботнетом. Он также известен под другими именами, в частности, Cutwail (в Webroot его называют Pushu). В начале прошлого года этот ботнет был самым крупным спамогенератором, однако с трудом пережил удар, нанесённый летом по хостинг-провайдеру 3FN. Графики M86 Security показывают, что в декабре спам-активность Pushdo вновь резко снизилась. Интересно, что в то же самое время конкурирующий Mega-D/Ozdok, почти добитый сперва закрытием 3FN, а затем операцией компании FireEye, сумел выйти из глубокого пике и сейчас рассылает больше 20% общемирового спама.
Подробности