Uważajcie na Orbit Downloader, program zawiera złośliwy

Uważajcie na Orbit Downloader, program zawiera złośliwy kod
Wpisany przez Mateusz Ponikowski
Poniedziałek, 26 Sierpień 2013 11:25 -
W popularnym menedżerze pobierania plików Orbit Downloader wykryto nietypową zawartość
- kod, który zamienia komputer użytkownika w zdalnie sterowaną broń, do której kontroler
posiada cyberprzestępca. Za pośrednictwem wielu takich komputerów możliwe jest
przeprowadzenie ataku, który może spowodować unieruchomienie np. strony jednego z
banków. Wszystko to bez wiedzy i zgody użytkowników programu Orbit Downloader.
Orbit Downloader firmy Innoshock jest asystentem pobierania plików, który integruje się z
przeglądarką internetową. Program przyspiesza pobieranie plików z sieci oraz umożliwia
zapisywania na dysku komputera strumieniowanych treści multimedialnych, np. filmów z
serwisu YouTube. Mimo że aplikacja jest darmowa, producent, firma Innoshock, zarabia na niej
dzięki umowom z firmami trzecimi. Zyski czerpane są m.in. ze sprzedaży reklam, jakie
wyświetlane są podczas instalacji i działania programu.
Eksperci z firmy ESET zakwalifikowali Orbit Downloadera do grupy potencjalnie
niebezpiecznych aplikacji. Ostatnia analiza programu, wykonana przez ekspertów, pozwoliła
odkryć coś jeszcze. Pomiędzy wersją 4.1.1.14 a 4.1.1.15 dodano złośliwy komponent, który
ESET Smart Security i ESET NOD32 Antivirus klasyfikują jako Win32/DDoS.Orbiter.A. Ten
dodatek sprawia, że komputer z Orbit Downloaderem zaczyna niezauważanie dla użytkownika,
realizować rozkaz ataku na konkretny serwer dostępny w Internecie. Tego typu ataki eksperci
nazywają Denial of Service (DoS).
Jak przebiega sam atak? Komputer z Orbit Downloaderem "zaczepia" wytypowany przez
cyberprzestępców serwer, np. taki, dzięki któremu w sieci dostępna jest witryna internetowa
banku. Maszyna z zainstalowanym programem pozornie próbuje nawiązać połączenie z
serwerem, przedstawiając się przy tym fałszywym adresem IP, a więc adresem jaki posiada w
sieci każde urządzenie - komputer, smartfon czy tablet. Próba weryfikacji adresu IP przez
serwer kończy się brakiem reakcji ze strony komputera inicjującego kontakt - w końcu
prawdziwy adres IP tej maszyny jest inny od tego, który został podany podczas próby
połączenia z serwerem. Większa liczba tego typu zapytań, kierowanych do danego serwera
przez grupę komputerów z zainstalowanym Orbit Downloaderem, sprawia, że wskazany przez
cyberprzestępców serwer w końcu ulega przeciążeniu i przestaje działać. Taki zmasowany atak
nazywany jest atakiem Distributed Denial of Service (DDoS) i w jego efekcie konkretna strona
internetowa np. strona banku, może przestać działać.
Kamil Sadkowski, analityk zagrożeń z laboratorium antywirusowego ESET zwraca uwagę, że
pojedynczy komputer z zainstalowaną złośliwą wersją Orbit Downloadera bez przerwy
komunikuje sie z siecią, generując przy tym ogromny ruch. To jedyna cecha charakterystyczna,
dzięki której użytkownik może zorientować się, że z jego komputerem dzieje się coś
niedobrego. Ta nadzwyczaj wysoka aktywność maszyny z Orbit Downloaderem to rezultat
1/2
Uważajcie na Orbit Downloader, program zawiera złośliwy kod
Wpisany przez Mateusz Ponikowski
Poniedziałek, 26 Sierpień 2013 11:25 -
wykonywania ataku DoS na serwer, który cyberprzestępca określił w instrukcji, przesłanej
wcześniej do komputera.
W związku z doniesieniami ekspertów z firmy ESET, wstrzymaliśmy dystrybucję programu za
pośrednictwem naszych zasobów. Rekomendujemy zaprzestanie korzystania z Orbit
Downloader i skorzystanie z alternatywnych aplikacji - przynajmniej do czasu wyjaśnienia całej
sytuacji przez producenta. W dziale Pobieranie plików znajdziecie sporo darmowych jak i
płatnych rozwiązań, które mogą zastąpić Orbita. Szczególnie polecamy
FlashGet
,
Download Accelerator Plus (DAP)
oraz
Internet Download Manager (IDM)
.
Źródło: ESET
2/2