Skip to main content

Forscher: Populäres Download-Management-Programm hat DDoS-Komponente versteckt

Die neuesten Versionen von Orbit Downloader, einem beliebten Windows-Programm zum Herunterladen von eingebetteten Medieninhalten und anderen Dateitypen von Websites, verwandeln Computer in Bots und starten damit Distributed Denial-of-Service (DDoS). Laut der Sicherheitsforscher.

Ab dem Release 4.1.1.14, das im Dezember veröffentlicht wurde, lädt das Orbit Downloader-Programm automatisch eine DLL-Komponente (Dynamic Link Library) mit DDoS-Funktionalität herunter, wie Malware-Forscher vom Antiviren-Hersteller ESET am Mittwoch mitteilten ein Blogbeitrag.

Die Rogue-Komponente wird von einem Ort auf der offiziellen Website des Programms, orbitdownloader.com, heruntergeladen, sagten die ESET-Forscher. Eine verschlüsselte Konfigurationsdatei mit einer Liste von Websites und IP-Adressen (Internet Protocol), die als Angriffsziele dienen sollen, wird von derselben Website heruntergeladen.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Orbit Downloader wurde seit mindestens 2006 entwickelt und nach Download-Statistiken von Software-Distributions-Sites wie Cnet's Download.com und Softpedia.com ist es ein populäres Programm.

Orbit Downloader wurde fast 36 Millionen Mal heruntergeladen mal von Download.com bis heute und rund 12.500 mal letzte Woche. Die neueste Version ist 4.1.1.18 und wurde im Mai veröffentlicht.

In einer Überprüfung des Programms bemerkte ein Cnet-Editor, dass er zusätzliche "Junk-Programme" installiert und Alternativen für Benutzer vorschlägt, die eine dedizierte Download-Management-Anwendung benötigen.

Als sie die DDoS-Komponente entdeckten, untersuchten die ESET-Forscher tatsächlich die von Orbit Downloader installierten "Junk-Programme", um festzustellen, ob das Programm als "potenziell unerwünschte Anwendung" in der Branche als PUA gekennzeichnet werden sollte.

"Der Entwickler [von Orbit Downloader], Innoshock, generiert seine Einnahmen aus gebündelten Angeboten wie OpenCandy, mit dem Software von Drittanbietern installiert wird und Anzeigen geschaltet werden", so die Forscher normales Verhalten für freie Programme in diesen Tagen.

"Was jedoch ungewöhnlich ist, ist, ein populäres Dienstprogramm zu sehen, das zusätzlichen Code für das Ausführen von Denial of Service (DoS) -Angriffen enthält", sagten sie.

Das r Rogue Orbit Downloader DDoS-Komponente wird nun von ESET-Produkten als Trojaner namens Win32 / DDoS.Orbiter.A erkannt. Es ist in der Lage, verschiedene Arten von Angriffen zu starten, so die Forscher.

Zuerst wird geprüft, ob ein Dienstprogramm namens WinPcap auf dem Computer installiert ist. Dies ist ein legitimes Dienstprogramm von Drittanbietern, das Netzwerkfunktionen auf niedriger Ebene bereitstellt, einschließlich des Sendens und Erfassens von Netzwerkpaketen. Es ist nicht mit Orbit Downloader gebündelt, kann aber von anderen Anwendungen, die es benötigen, auf Computern installiert werden.

Wenn WinPcap installiert ist, verwendet die DDoS-Komponente von Orbit das Tool zum Senden von TCP-SYN-Paketen an Port 80 (HTTP) an die IP-Adressen in seiner Konfigurationsdatei angegeben. "Diese Art von Angriff wird als SYN-Flut bezeichnet", so die ESET-Forscher.

Wenn WinPcap nicht vorhanden ist, sendet die Rogue-Komponente direkt HTTP-Verbindungsanforderungen auf Port 80 an die Zielcomputer sowie UDP-Pakete auf Port 53 (DNS).

Die Angriffe verwenden auch IP-Spoofing-Techniken, die Quell-IP-Adressen für die Anfragen fallen in IP-Adressbereiche, die in der DLL-Datei fest codiert sind.

"Auf einem Testcomputer in unserem Labor mit einem Gigabit Ethernet-Port wurden HTTP-Verbindungsanforderungen mit einer Rate von etwa 140.000 Paketen pro Sekunde gesendet, wobei gefälschte Quelladressen weitgehend aus IP-Bereichen stammen, die Vietnam zugewiesen wurden ", sagten die ESET-Forscher.

Nach Hinzufügen einer Erkennungssignatur für die DLL Englisch: www.openbsd.dk/faq/pf//queueing.html Außerdem identifizierten die ESET - Forscher eine ältere Datei namens orbitnet.exe, die fast die gleiche Funktionalität wie die DLL - Datei hatte, aber ihre Konfiguration von einer anderen Website heruntergeladen hat, nicht von orbydownloader.com.

Dies deutet darauf hin, dass Orbit Downloader seit Version 4.1.1.14 möglicherweise DDoS-Funktionalität hatte. Die orbitnet.exe-Datei ist nicht mit älteren Orbit Downloader-Installern gebündelt, aber sie wurde möglicherweise nach der Installation wie die DLL-Komponente heruntergeladen.

Dies ist eine Möglichkeit, aber sie kann nicht mit Sicherheit nachgewiesen werden, Peter Kosinar Englisch: www.germnews.de/archive/dn/1998/02/12.html Ein an der Untersuchung beteiligter technischer Mitarbeiter bei ESET sagte am Donnerstag. Es könnte auch durch andere Mittel verteilt werden, sagte er.

Zu ​​der Verwirrung kommt hinzu, dass eine ältere Version von orbitnet.exe als die, die von ESET gefunden wird, mit Orbit Downloader 4.1.1.18 verteilt wird. Der Grund dafür ist unklar, da Orbit Downloader 4.1.1.18 auch die DLL DDoS-Komponente herunterlädt und verwendet. Es zeigt jedoch eine klare Beziehung zwischen orbitnet.exe und Orbit Downloader.

Die Tatsache, dass ein beliebtes Programm wie Orbit Downloader als DDoS-Tool verwendet wird, schafft Probleme nicht nur für die Websites, die es angreift, sondern auch für die Benutzer, deren Computer missbraucht werden.

Laut Kosinar ist für die von der DDoS-Komponente gesendeten Pakete kein Ratenlimit implementiert. Dies bedeutet, dass das Starten dieser Angriffe die Bandbreite der Internetverbindung des Benutzers leicht beeinträchtigen kann und seine Fähigkeit beeinträchtigt, über andere Programme auf das Internet zuzugreifen.

Benutzer, die Orbit Downloader installieren, erwarten, dass das Programm ihre Downloads optimiert und ihre Geschwindigkeit erhöht dass die Anwendung den gegenteiligen Effekt hat.

Orbit Downloader wurde von einer Gruppe namens Innoshock entwickelt, aber es ist nicht klar, ob das eine Firma oder nur ein Team von Entwicklern ist. Versuche, Innoshock für einen Kommentar am Donnerstag über zwei Gmail-Adressen auf seiner Website und der Orbit-Downloader-Website sowie über Twitter zu kontaktieren, blieben unbeantwortet.

Die Nutzer des Programms scheinen auch das DDoS-Verhalten aufgrund von Kommentaren im Download bemerkt zu haben .com und das Orbit Downloader-Support-Forum.

Orbit-Downloader-Version 4.1.1.18 erzeugt einen sehr hohen DDoS-Datenverkehr, sagte ein Benutzer namens raj_21er am 12. Juni im Support-Forum. "Die DDoS-Flut ist so groß, dass sie es ist Hängt nur die Gateway-Geräte / Netzwerk-Switches vollständig auf und bricht den gesamten Netzwerkbetrieb ab. "

" Ich habe Orbit Downloader für die letzte Woche auf meinem Desktop benutzt, als ich plötzlich bemerkte, dass der Internetzugang im letzten ziemlich leer war 2 Tage ", sagte ein anderer Benutzer namens Orbit_User_5500. Das Ausschalten des Desktop-Systems stellte den Internetzugriff auf die anderen Netzwerkcomputer und -geräte wieder her.

Seit der Erkennung dieser DDoS-Komponente erhielt ESET Zehntausende von Erkennungsberichten pro Woche von den Bereitstellungen seiner Antivirenprodukte, sagte Kosinar.