В Orbit Downloader для Windows обнаружен скрытый инструмент для проведения DDoS-атак

Devils Night

Devils Night

Ветеран
В Orbit Downloader для Windows обнаружен скрытый инструмент для проведения DDoS-атак

f91f23a0551c1d0a01dd12432956c4c5.png

Потенциально опасный функционал был скрыт от пользователей и, возможно, даже от разработчиков.

Популярный среди пользователей операционной системы Windows загрузчик Orbit Downloader, как выяснилось, содержит скрытый инструмент для проведения DDoS-атак. При этом о наличии потенциально опасного компонента не подозревали не только пользователи, но, возможно, и разработчики.

Программа Orbit Downloader стала доступной для свободного скачивания примерно с 2006 года. Учитывая тот факт, что загрузчик является абсолютно бесплатным, а также то, что частично он распространялся с «потенциально нежелательными приложениями» сделало его довольно популярным.

Скрытый компонент был обнаружен исследователями из ESET в ходе проведения рутинного анализа программного обеспечения. После более подробного рассмотрения программы и ее более ранних версий выяснилось, что DDoS-инструмент был внедрен в исходный код Orbit Downloader где-то между версиями 4.1.1.14 (25 декабря 2012 года) и 4.1.1.15 (10 января 2013 года).

Работает компонент по следующему сценарию: при его установке на систему, он обращается к домену orbitdownloader.com, откуда скачивает конфигурационный файл со списком URL и целевых IP-адресов, а также Win32 PE DLL файл, предназначенный для осуществления атак.

Вирусописатели предусмотрели возможность проведения двух типов DDoS-атак. Какая из них будет использоваться зависит от наличия в установочном файле Orbit Downloader стороннего инструмента WinPcap. Если он есть, то на целевой адрес (на port 80) посылаются специально сформированные TCP SYN пакеты, а источник атаки маскируется случайным IP-адресом. В противном случае по заданному адресу (на port 80) посылается множество HTTP запросов на соединение, а также UDP датаграмм (на port 53).

В настоящий момент остается непонятным, замешаны ли в распространении DDoS-инструмента разработчики Orbit Downloader. В настоящий момент загрузчик все еще доступен для скачивания на его официальном сайте, однако многие популярные web-ресурсы, распространяющие различное ПО, удалили его. Кроме того, большинство антивирусных компаний внесли уязвимую версию программы в свои сигнатуры.

Ознакомиться с отчетом ESET можно здесь.

Источник: (securitylab) Ссылка на статью находится здесь
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху