Popularny Orbit Downloader DDoS-ował na zamówienie

Orbit Downloader firmy Innoshock jest popularnym programem integrującym się z przeglądarkami, który wspomaga pobieranie plików z Sieci, pozwala pobrać filmy z YouTube i tak dalej. Program jest obecny na rynku od 2006 roku, a jego wydawca utrzymywał się z ofert promocyjnych, jak OpenCandy… przynajmniej taka była oficjalna wersja. Kilka godzin temu na jaw wyszło, że Orbit Downloader nie jest bezpieczny, a Innoshock czerpie dochody również z innych źródeł.

Eksperci do spraw bezpieczeństwa od dłuższego czasu przyglądają się takim ofertom i starają się określić, czy aplikacje instalowane przez różne programy kwalifikują się jako PUA (Potentially Unwanted Software). Temat dobrze opisał Graham Cluley na swoim blogu. O ile jednak takie dodatki zazwyczaj nie są szczególnie szkodliwe, Orbit Downloader wszedł na kolejny poziom — podczas rutynowej kontroli badający znaleźli w nim kod odpowiedzialny za przeprowadzanie ataków DDoS (Distributed Denial of Service), zaklasyfikowany przez firmę ESET jako Win32/DDoS.Orbiter.A.

Gdzieś między grudniem 2012 a styczniem 2012 (wersje 4.1.1.14 i 4.1.1.15) do Orbit Downloadera dołączył komponent orbitdm.exe. Jego zadaniem jest połączenie się z witryną aktualizacji programu, co nie budzi podejrzeń, a skąd dostanie dwa adresy. Z jednego pobiera lokalizację szkodliwego pliku DLL, który program pobiera bez wiedzy użytkownika, z drugiego zaś kolejne adresy. DLL pobiera zawoalowaną konfigurację i wykonuje ataki na podane w niej cele, co szczegółowo opisane zostało na We Live Security.

Biorąc pod uwagę wiek i popularność Orbit Downloadera można przypuszczać, że ataki DDoS przeprowadzane z wykorzystaniem komputerów, na których był zainstalowany, były liczne i skuteczne.

Za: dobreprogramy.pl