Tin tức Bkav | Bkav Corporation

Do your best, the rest will come !

Phát hiện sâu máy tính qua mặt cơ chế CAPTCHA của Gmail

07:32:00 | 24-04-2009

Ngày 22/04, hệ thống Honeypot của Bkis đã phát hiện được một mẫu sâu máy tính mới, chúng tôi cập nhật mẫu nhận diện và đặt tên là W32.Gaptcha.Worm. Đây là sâu tự động đăng ký tài khoản của Gmail với mục đích phát tán thư rác.

Để đăng ký tài khoản Gmail một cách tự động, sâu Gaptcha đã vượt qua được cơ chế CAPTCHA của Gmail. CAPTCHA là một cơ chế được Google dùng để ngăn chặn việc đăng ký tài khoản Gmail tự động. Máy chủ sẽ yêu cầu người đăng ký tài khoản đọc một bức ảnh gồm các con số và chữ cái biến dạng sau đó điền chính xác những ký tự đó vào ô trống. Tuy nhiên sâu Gaptcha đã vượt qua được cơ chế này. Khi vượt qua được CAPTCHA, sâu Gaptcha liên tục tự động đăng ký các tài khoản Gmail sau đó gửi gửi thông tin về tài khoản đăng ký được cho hacker. Đến khi Gmail khóa địa chỉ IP của máy bị nhiễm nó sẽ tự gỡ bản thân khỏi hệ thống.

Khi máy của bạn bị nhiễm virus này, bạn sẽ thấy hiện tượng cửa sổ Internet Explorer tự hiện lên và có thể chứng kiến toàn bộ các bước đăng ký tài khoản Gmail tự động của sâu Gaptcha. Sau đó, có thể bạn cũng không đăng kí được tài khoản Gmail vì IP của máy tính đã bị Gmail chặn lại.

Thông tin về virus:

Tên: W32.Gaptcha.Worm

Kích thước: 82 KB

Ngày phát hiện: 22/04/2009

Các bước tấn công của sâu Gaptcha:

1. Kết nối đến trang: clitcommander.110mb.com để kiểm tra kết nối mạng và kết nối đến máy chủ. Nếu việc kết nối không thực hiện được, tự động chuyển đến bước 9.

2. Khởi động Internet Explorer bằng lệnh InternetExplorer.Application. Tự động mở trang đăng kí tài khoản mới của Gmail: https://www.google.com/accounts/NewAccount?service=mail

Virus tự động mở ra trang đăng ký tài khoản mới của Gmail

3. Điền các trường:

a. FirstName: Lấy ngẫu nhiên các tên: Emily, Isabella….

b. LastName: Lấy ngẫu nhiên: Smith, Johnson …

Các tên ngẫu nhiên được virus sử dụng để tạo tài khoản Gmail

4. Tìm đến CAPTCHA, tự động tải về về thư mục TEMP; gửi đến trang chủ: ac-servi[removed].info để xử lý hình ảnh sau đó lấy lại thông tin đã xử lý để vượt qua CAPTCHA.

5. Hoàn tất thủ tục đăng ký.

Màn hình kết thúc quá trình đăng ký tài khoản Gmail

6. Khởi động Internet Explorer, đăng nhập vào tài khoản Gmail vừa tạo thành, cài đặt chế độ Enable POP đồng thời sửa trường: Forwart as Copy : u6j3y1[removed]nj @my-priv[removed]mail.biz.

7. Gửi cho hacker thông tin về email vừa tạo được qua: clitcom[removed]der.110mb.com

8. Lặp lại bước 2

9. Tạo ra file .bat để tự xóa khỏi hệ thống.

Trung tâm An ninh mạng Bkis