Червь создает Gmail-аккаунты с помощью наемников

Вьетнамская компания Bkis обнаружила новый червь, который регистрирует аккаунты для рассылки спама, отсылая контрольные изображения CAPTCHA на веб-сервисы, специализирующиеся на их расшифровке.

Эксперты присвоили программе наименование W32.Gaptcha.Worm. По имеющимся сведениям, червь получает команды с управляющего сервера clitcommander.110mb.com, размещенного на бесплатном веб-хостинге в Амстердаме. На резидентной системе он запускает IE-браузер, соединяется с почтовым сервисом Gmail и начинает процесс регистрации, используя произвольные имена. Информацию о созданных аккаунтах Gaptcha отсылает на командный сервер, а по окончании работы удаляет себя из зараженной системы – во избежание обнаружения.

Контрольные изображения червь копирует в папку временных файлов и отсылает на специализированный веб-сервис. Тот вариант, который попал на ловушки вьетнамских исследователей, использовал домен ac-service.info, зарегистрированный в конце марта 2009 года. Соответствующий ему IP-адрес закреплен за выделенным сервером, владельцем которого является канадская хостинг-компания.

Исследователи F-Secure обнаружили другой веб-сервис, используемый Gaptcha для расшифровки теста, защищающего от автоматических регистраций, – российский сайт anti-captcha.com. Его владельцы взимают с зарегистрированных пользователей 1 доллар за взлом 1000 контрольных изображений со средним временем исполнения 20 секунд и гарантией успеха 90-95%. По их словам, они пользуются услугами тысяч добровольцев из стран СНГ.