Eset: DDoS-Trojaner im Download-Manager Orbit
Das Standalone-Programm von Orbit (Bild: Screenshot: Golem.de)

Eset DDoS-Trojaner im Download-Manager Orbit

Der Antivirenhersteller Eset warnt vor dem beliebten Programm Orbit. Bereits seit Monaten lädt Orbit nach der Installation ein Denial-of-Service-Modul nach, das später auch mit Listen von Angriffszielen versorgt und eingesetzt wird.

Anzeige

In einem ausführlichen Blogeintrag warnt Eset vor dem weit verbreiteten Download-Manager Orbit. Mindestens seit Januar 2013 steckt in den seitdem erschienenen Versionen eine Funktion für DDos-Attacken auf Webseiten. Eine solche Funktion in einem Download-Manager unterzubringen, ist für Personen mit zweifelhaften Absichten sehr reizvoll: Die Programme laufen bei vielen Anwendern rund um die Uhr und erzeugen beim Herunterladen von Dateien ohnehin Netzlast, so dass der Verkehr durch DDos-Attacken nicht unbedingt auffällt.

Das Programm Orbit gibt es bereits seit 2006, es ist nicht nur - wie auch der umstrittene JDownloader - für das Laden von aufgeteilten Archiven von Filehostern geeignet, was oft für Schwarzkopien genutzt wird. Orbit kann auch Videostreams von entsprechenden Webseiten direkt speichern und führt eine Liste von verbreiteter Software, die über das Programm automatisch aktualisiert werden kann. Für einige seiner Funktionen setzt das aus mehreren Modulen bestehende Orbit das Programm WinPcap ein, das als Treiber arbeitet, und Pakete noch vor dem Betriebssystem verarbeitet - darin liegt auch ein Ansatzpunkt für das DDos-Modul.

  • So warnt ein Eset-Scanner, wenn die Schadmodule nachgeladen werden. (Screenshot: Golem.de)
  • Die Startseite der Standalone-Anwendung von Orbit. (Screenshot: Golem.de)
  • Entschlüsselte Datei il.php mit Liste der Angriffsziele (Screenshot: Eset)
So warnt ein Eset-Scanner, wenn die Schadmodule nachgeladen werden. (Screenshot: Golem.de)

Irgendwann zwischen den Versionen 4.1.1.14 vom Dezember 2012 und 4.1.1.15 von Orbit kam laut Eset die Schadfunktion hinzu. Wie Golem.de auf einem isolierten Testrechner ausprobiert hat, ist sie auch in der aktuellen Version 4.1.1.18 noch enthalten. Sie wird aber erst nach der Installation des Programms beim ersten Start des Browsers, für den Orbit neben seiner Standalone-Anwendung ein Plugin bereitstellt, nachgeladen. Daher erkennt auch der Virenscanner von Eset das Downloadpaket von Orbit nach dem Download und während der Installation noch nicht als Malware.

Ist Orbit jedoch einmal installiert und der mit dem Plugin versehene Browser gestartet, wird sofort von den Servern der Orbit-Macher die Datei "ido.ipl" nachgeladen. Darin steckt eine DLL mit den DDos-Funktionen, Eset konnte bereits über ein Dutzend Versionen dieser DLL sichten. Danach wird in unregelmäßigen Abständen eine verschlüsselte PHP-Datei von den Orbit-Servern geladen, welche die Domains enthält, die angegriffen werden sollen. Das erfolgt dann, wenn WinPcap aktiviert ist - Orbit schlägt dessen Installation vor - über SYN-Floods, ohne WinPcap über HTTP-Verbindungsanforderungen. Am Gigabit-Port eines Testrechners zählte Eset dabei über 140.000 Pakete pro Sekunde bei HTTP-Requests.

Eset blockiert Installation der Schadmodule

Da es sich mit solchem Verhalten kaum noch um einen Fehler handeln kann und der Nutzer sich unter Umständen strafbar macht, wenn er wissentlich ein von Dritten gesteuertes DDoS-System auf seinem Rechner betreibt, hat Eset Orbit nun als Malware eingestuft. Das Programm lässt sich zwar noch voll funktionsfähig installieren, das Nachladen der kritischen Komponenten verhindert Eset mit seinen Antivirenprogrammen, sofern diese Signaturen ab der Version 8604 einsetzen. Ein Testrechner von Golem.de mit Eset-Signaturen in Version 8719 erkannte die DDoS-Komponenten von Orbit zuverlässig, sie wurden nicht installiert, sondern in die Quarantäne des Scanners verschoben.

Wie das ausgeklügelte DDoS-System in den beliebten Download-Manager gelangen konnte, und warum dessen Komponenten bis hin zu den Angriffslisten von den Servern der Orbit-Macher geladen werden, ist noch ungeklärt. Das Unternehmen Innoshock, das nach eigenen Angaben hinter Orbit steht, hat sich dazu noch nicht geäußert.


x2k 26. Aug 2013

Wird denn die verbindung von virtueller maschiene zim wirts system nicht gefiltert ?

0xDEADC0DE 23. Aug 2013

Komm doch mal runter, du bist zu hoch, ich versteh dich net. :p

Kommentieren



Anzeige

  1. SAP-Modulbetreuer (m/w) Rechnungswesen und Controlling
    HiPP-Werk Georg Hipp OHG, Pfaffenhofen (Raum Ingolstadt)
  2. Java Entwickler/in
    Robert Bosch Car Multimedia GmbH, Hildesheim
  3. Java-Anwendungsentwickler / -innen
    Deutsche Bundesbank, Frankfurt am Main
  4. Manager (m/w) of End User Support Services
    CSM Deutschland GmbH, Bremen

 

Detailsuche


Folgen Sie uns
       


  1. Nocomentator

    Filterkiste blendet Sportkommentare aus

  2. Gameworks

    Nvidia rollt den Rasen aus

  3. Rolling-Release

    Opensuse Factory und Tumbleweed werden zusammengeführt

  4. Project Ara

    Google will nicht nur das Smartphone neu erfinden

  5. Wildstar

    NC Soft entlässt Mitarbeiter

  6. Mozilla

    Einfache Web-Apps auf dem Smartphone erstellen

  7. Civ Beyond Earth Benchmark

    Schneller, ohne Mikroruckler und geringere Latenz mit Mantle

  8. Allview X2 Soul mini

    Sehr dünnes Smartphone im Alu-Gehäuse für 200 Euro

  9. Toybox Turbos

    Codemasters veranstaltet Rennen auf dem Frühstückstisch

  10. Xamarin

    C# dank Mono für die Unreal Engine 4



Haben wir etwas übersehen?

E-Mail an news@golem.de



Sony Alpha 7S im Test: Vollformater sieht auch bei Dunkelheit nicht schwarz
Sony Alpha 7S im Test
Vollformater sieht auch bei Dunkelheit nicht schwarz
  1. FPS 1000 Kamera soll 18.500 Frames pro Sekunde aufnehmen
  2. Bericht Sony will 4K-Superzoom-Kamera entwickeln
  3. Minikamera Ai-Ball Die WLAN-Kamera aus dem Überraschungsei

IT-Gipfel 2014: De Maizière nennt De-Mail "nicht ganz zufriedenstellend"
IT-Gipfel 2014
De Maizière nennt De-Mail "nicht ganz zufriedenstellend"
  1. Digitale Agenda 38 Seiten Angst vor festen Zusagen
  2. E-Mail Ende-zu-Ende-Verschlüsselung für Yahoo Mail

Retro-Netzwerk: Der Tilde.Club erstellt Webseiten wie in den Neunzigern
Retro-Netzwerk
Der Tilde.Club erstellt Webseiten wie in den Neunzigern

    •  / 
    Zum Artikel