Devils Night
Ветеран
В Orbit Downloader для Windows обнаружен скрытый инструмент для проведения DDoS-атак
Потенциально опасный функционал был скрыт от пользователей и, возможно, даже от разработчиков.
Популярный среди пользователей операционной системы Windows загрузчик Orbit Downloader, как выяснилось, содержит скрытый инструмент для проведения DDoS-атак. При этом о наличии потенциально опасного компонента не подозревали не только пользователи, но, возможно, и разработчики.
Программа Orbit Downloader стала доступной для свободного скачивания примерно с 2006 года. Учитывая тот факт, что загрузчик является абсолютно бесплатным, а также то, что частично он распространялся с «потенциально нежелательными приложениями» сделало его довольно популярным.
Скрытый компонент был обнаружен исследователями из ESET в ходе проведения рутинного анализа программного обеспечения. После более подробного рассмотрения программы и ее более ранних версий выяснилось, что DDoS-инструмент был внедрен в исходный код Orbit Downloader где-то между версиями 4.1.1.14 (25 декабря 2012 года) и 4.1.1.15 (10 января 2013 года).
Работает компонент по следующему сценарию: при его установке на систему, он обращается к домену orbitdownloader.com, откуда скачивает конфигурационный файл со списком URL и целевых IP-адресов, а также Win32 PE DLL файл, предназначенный для осуществления атак.
Вирусописатели предусмотрели возможность проведения двух типов DDoS-атак. Какая из них будет использоваться зависит от наличия в установочном файле Orbit Downloader стороннего инструмента WinPcap. Если он есть, то на целевой адрес (на port 80) посылаются специально сформированные TCP SYN пакеты, а источник атаки маскируется случайным IP-адресом. В противном случае по заданному адресу (на port 80) посылается множество HTTP запросов на соединение, а также UDP датаграмм (на port 53).
В настоящий момент остается непонятным, замешаны ли в распространении DDoS-инструмента разработчики Orbit Downloader. В настоящий момент загрузчик все еще доступен для скачивания на его официальном сайте, однако многие популярные web-ресурсы, распространяющие различное ПО, удалили его. Кроме того, большинство антивирусных компаний внесли уязвимую версию программы в свои сигнатуры.
Ознакомиться с отчетом ESET можно здесь.
Источник: (securitylab) Ссылка на статью находится здесь