Das Standalone-Programm von Orbit
Das Standalone-Programm von Orbit (Bild: Screenshot: Golem.de)

Eset DDoS-Trojaner im Download-Manager Orbit

Der Antivirenhersteller Eset warnt vor dem beliebten Programm Orbit. Bereits seit Monaten lädt Orbit nach der Installation ein Denial-of-Service-Modul nach, das später auch mit Listen von Angriffszielen versorgt und eingesetzt wird.

Anzeige

In einem ausführlichen Blogeintrag warnt Eset vor dem weit verbreiteten Download-Manager Orbit. Mindestens seit Januar 2013 steckt in den seitdem erschienenen Versionen eine Funktion für DDos-Attacken auf Webseiten. Eine solche Funktion in einem Download-Manager unterzubringen, ist für Personen mit zweifelhaften Absichten sehr reizvoll: Die Programme laufen bei vielen Anwendern rund um die Uhr und erzeugen beim Herunterladen von Dateien ohnehin Netzlast, so dass der Verkehr durch DDos-Attacken nicht unbedingt auffällt.

Das Programm Orbit gibt es bereits seit 2006, es ist nicht nur - wie auch der umstrittene JDownloader - für das Laden von aufgeteilten Archiven von Filehostern geeignet, was oft für Schwarzkopien genutzt wird. Orbit kann auch Videostreams von entsprechenden Webseiten direkt speichern und führt eine Liste von verbreiteter Software, die über das Programm automatisch aktualisiert werden kann. Für einige seiner Funktionen setzt das aus mehreren Modulen bestehende Orbit das Programm WinPcap ein, das als Treiber arbeitet, und Pakete noch vor dem Betriebssystem verarbeitet - darin liegt auch ein Ansatzpunkt für das DDos-Modul.

  • So warnt ein Eset-Scanner, wenn die Schadmodule nachgeladen werden. (Screenshot: Golem.de)
  • Die Startseite der Standalone-Anwendung von Orbit. (Screenshot: Golem.de)
  • Entschlüsselte Datei il.php mit Liste der Angriffsziele (Screenshot: Eset)
So warnt ein Eset-Scanner, wenn die Schadmodule nachgeladen werden. (Screenshot: Golem.de)

Irgendwann zwischen den Versionen 4.1.1.14 vom Dezember 2012 und 4.1.1.15 von Orbit kam laut Eset die Schadfunktion hinzu. Wie Golem.de auf einem isolierten Testrechner ausprobiert hat, ist sie auch in der aktuellen Version 4.1.1.18 noch enthalten. Sie wird aber erst nach der Installation des Programms beim ersten Start des Browsers, für den Orbit neben seiner Standalone-Anwendung ein Plugin bereitstellt, nachgeladen. Daher erkennt auch der Virenscanner von Eset das Downloadpaket von Orbit nach dem Download und während der Installation noch nicht als Malware.

Ist Orbit jedoch einmal installiert und der mit dem Plugin versehene Browser gestartet, wird sofort von den Servern der Orbit-Macher die Datei "ido.ipl" nachgeladen. Darin steckt eine DLL mit den DDos-Funktionen, Eset konnte bereits über ein Dutzend Versionen dieser DLL sichten. Danach wird in unregelmäßigen Abständen eine verschlüsselte PHP-Datei von den Orbit-Servern geladen, welche die Domains enthält, die angegriffen werden sollen. Das erfolgt dann, wenn WinPcap aktiviert ist - Orbit schlägt dessen Installation vor - über SYN-Floods, ohne WinPcap über HTTP-Verbindungsanforderungen. Am Gigabit-Port eines Testrechners zählte Eset dabei über 140.000 Pakete pro Sekunde bei HTTP-Requests.

Eset blockiert Installation der Schadmodule

Da es sich mit solchem Verhalten kaum noch um einen Fehler handeln kann und der Nutzer sich unter Umständen strafbar macht, wenn er wissentlich ein von Dritten gesteuertes DDoS-System auf seinem Rechner betreibt, hat Eset Orbit nun als Malware eingestuft. Das Programm lässt sich zwar noch voll funktionsfähig installieren, das Nachladen der kritischen Komponenten verhindert Eset mit seinen Antivirenprogrammen, sofern diese Signaturen ab der Version 8604 einsetzen. Ein Testrechner von Golem.de mit Eset-Signaturen in Version 8719 erkannte die DDoS-Komponenten von Orbit zuverlässig, sie wurden nicht installiert, sondern in die Quarantäne des Scanners verschoben.

Wie das ausgeklügelte DDoS-System in den beliebten Download-Manager gelangen konnte, und warum dessen Komponenten bis hin zu den Angriffslisten von den Servern der Orbit-Macher geladen werden, ist noch ungeklärt. Das Unternehmen Innoshock, das nach eigenen Angaben hinter Orbit steht, hat sich dazu noch nicht geäußert.


x2k 26. Aug 2013

Wird denn die verbindung von virtueller maschiene zim wirts system nicht gefiltert ?

0xDEADC0DE 23. Aug 2013

Komm doch mal runter, du bist zu hoch, ich versteh dich net. :p

Kommentieren



Anzeige

  1. Scrum Master (m/w)
    MaibornWolff GmbH, München
  2. Funktions- / Software-Entwickler/-in Complex Driver für Motorsteuerung
    Robert Bosch GmbH, Schwieberdingen
  3. SAP-Entwickler (m/w) für ABAP & Process Integration
    Star Cooperation GmbH, Großraum Stuttgart
  4. Software Engineer (m/w)
    Cognitec Systems GmbH, Dresden

 

Detailsuche


Blu-ray-Angebote
  1. Coriolanus [Blu-ray]
    3,99€
  2. Blu-rays zum Sonderpreis
    (u. a. Dallas Buyers Club 7,90€, Wolverine 7,90€, 96 Hours 7,90€, Lord of War 7,97€, A-Team...
  3. Avengers - Age of Ultron [Blu-ray]
    19,99€ (Vorbesteller-Preisgarantie)

 

Weitere Angebote


Folgen Sie uns
       


  1. Streaming

    Parallele Benutzung von Apple Music stoppt Wiedergabe

  2. Erneuter Gewinnrückgang

    Samsung verschätzt sich bei Galaxy S6 und S6 Edge

  3. Store-Zubehör

    Anbieter müssen Designvorgaben von Apple einhalten

  4. US-Polizei

    iPhone-Hüllen können zur tödlichen Gefahr werden

  5. City-Surfer

    VW will elektrisches Dreirad bauen

  6. Ridewith

    Google steigt ins Mitfahrgeschäft ein

  7. Media Broadcast

    DVB-T2 verspricht exklusive Inhalte in 1080p/50

  8. Airbus E-Fan 2.0

    In 38 Minuten nach Calais

  9. Square Enix

    Mac-Version von Final Fantasy 14 zurückgezogen

  10. Smartphone

    Oneplus Two soll unter 450 US-Dollar kosten



Haben wir etwas übersehen?

E-Mail an news@golem.de



Unity: "Inzwischen entstehen viele tolle Spiele ohne Programmierer"
Unity
"Inzwischen entstehen viele tolle Spiele ohne Programmierer"
  1. Unity Technologies 56.289 Engine-Tests in einer Nacht
  2. Engine Unity 5.1 mit neuer Rendering-Pipeline für Virtual Reality
  3. Microsoft Hololens setzt auf die Unity-Engine

Linux Mint 17.2 im Test: Desktops ohne Schnickschack, aber mit Langzeitunterstützung
Linux Mint 17.2 im Test
Desktops ohne Schnickschack, aber mit Langzeitunterstützung
  1. Fedora 22 im Test Das Ende der Experimentierphase
  2. Linux Mint Cinnamon 2.6 verringert CPU-Last deutlich
  3. Linux-Distributionen im Test Rosa Desktop Fresh kooperiert mit aktueller Hardware

Airbus E-Fan 2.0: Elektromobilität geht auch in der Luft
Airbus E-Fan 2.0
Elektromobilität geht auch in der Luft
  1. Oneweb Airbus baut gigantische Internet-Satelliten-Konstellation
  2. Raumfahrt Airbus entwickelt wiederverwendbares Raketentriebwerk
  3. Airbus Flugzeugtragflächen sollen mit Piezoelementen Strom erzeugen

  1. Re: 2nd World Problems

    Sharra | 08:41

  2. Re: Kundenliste

    v3nd3774 | 08:38

  3. Re: Gesunder Menschenverstand...

    Chantalle47 | 08:37

  4. Re: Verrückt

    Sharra | 08:36

  5. Re: Sie versuchen es...

    DY | 08:34


  1. 08:47

  2. 08:34

  3. 08:30

  4. 08:18

  5. 07:35

  6. 07:10

  7. 18:12

  8. 18:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel