Das Standalone-Programm von Orbit
Das Standalone-Programm von Orbit (Bild: Screenshot: Golem.de)

Eset DDoS-Trojaner im Download-Manager Orbit

Der Antivirenhersteller Eset warnt vor dem beliebten Programm Orbit. Bereits seit Monaten lädt Orbit nach der Installation ein Denial-of-Service-Modul nach, das später auch mit Listen von Angriffszielen versorgt und eingesetzt wird.

Anzeige

In einem ausführlichen Blogeintrag warnt Eset vor dem weit verbreiteten Download-Manager Orbit. Mindestens seit Januar 2013 steckt in den seitdem erschienenen Versionen eine Funktion für DDos-Attacken auf Webseiten. Eine solche Funktion in einem Download-Manager unterzubringen, ist für Personen mit zweifelhaften Absichten sehr reizvoll: Die Programme laufen bei vielen Anwendern rund um die Uhr und erzeugen beim Herunterladen von Dateien ohnehin Netzlast, so dass der Verkehr durch DDos-Attacken nicht unbedingt auffällt.

Das Programm Orbit gibt es bereits seit 2006, es ist nicht nur - wie auch der umstrittene JDownloader - für das Laden von aufgeteilten Archiven von Filehostern geeignet, was oft für Schwarzkopien genutzt wird. Orbit kann auch Videostreams von entsprechenden Webseiten direkt speichern und führt eine Liste von verbreiteter Software, die über das Programm automatisch aktualisiert werden kann. Für einige seiner Funktionen setzt das aus mehreren Modulen bestehende Orbit das Programm WinPcap ein, das als Treiber arbeitet, und Pakete noch vor dem Betriebssystem verarbeitet - darin liegt auch ein Ansatzpunkt für das DDos-Modul.

  • So warnt ein Eset-Scanner, wenn die Schadmodule nachgeladen werden. (Screenshot: Golem.de)
  • Die Startseite der Standalone-Anwendung von Orbit. (Screenshot: Golem.de)
  • Entschlüsselte Datei il.php mit Liste der Angriffsziele (Screenshot: Eset)
So warnt ein Eset-Scanner, wenn die Schadmodule nachgeladen werden. (Screenshot: Golem.de)

Irgendwann zwischen den Versionen 4.1.1.14 vom Dezember 2012 und 4.1.1.15 von Orbit kam laut Eset die Schadfunktion hinzu. Wie Golem.de auf einem isolierten Testrechner ausprobiert hat, ist sie auch in der aktuellen Version 4.1.1.18 noch enthalten. Sie wird aber erst nach der Installation des Programms beim ersten Start des Browsers, für den Orbit neben seiner Standalone-Anwendung ein Plugin bereitstellt, nachgeladen. Daher erkennt auch der Virenscanner von Eset das Downloadpaket von Orbit nach dem Download und während der Installation noch nicht als Malware.

Ist Orbit jedoch einmal installiert und der mit dem Plugin versehene Browser gestartet, wird sofort von den Servern der Orbit-Macher die Datei "ido.ipl" nachgeladen. Darin steckt eine DLL mit den DDos-Funktionen, Eset konnte bereits über ein Dutzend Versionen dieser DLL sichten. Danach wird in unregelmäßigen Abständen eine verschlüsselte PHP-Datei von den Orbit-Servern geladen, welche die Domains enthält, die angegriffen werden sollen. Das erfolgt dann, wenn WinPcap aktiviert ist - Orbit schlägt dessen Installation vor - über SYN-Floods, ohne WinPcap über HTTP-Verbindungsanforderungen. Am Gigabit-Port eines Testrechners zählte Eset dabei über 140.000 Pakete pro Sekunde bei HTTP-Requests.

Eset blockiert Installation der Schadmodule

Da es sich mit solchem Verhalten kaum noch um einen Fehler handeln kann und der Nutzer sich unter Umständen strafbar macht, wenn er wissentlich ein von Dritten gesteuertes DDoS-System auf seinem Rechner betreibt, hat Eset Orbit nun als Malware eingestuft. Das Programm lässt sich zwar noch voll funktionsfähig installieren, das Nachladen der kritischen Komponenten verhindert Eset mit seinen Antivirenprogrammen, sofern diese Signaturen ab der Version 8604 einsetzen. Ein Testrechner von Golem.de mit Eset-Signaturen in Version 8719 erkannte die DDoS-Komponenten von Orbit zuverlässig, sie wurden nicht installiert, sondern in die Quarantäne des Scanners verschoben.

Wie das ausgeklügelte DDoS-System in den beliebten Download-Manager gelangen konnte, und warum dessen Komponenten bis hin zu den Angriffslisten von den Servern der Orbit-Macher geladen werden, ist noch ungeklärt. Das Unternehmen Innoshock, das nach eigenen Angaben hinter Orbit steht, hat sich dazu noch nicht geäußert.


x2k 26. Aug 2013

Wird denn die verbindung von virtueller maschiene zim wirts system nicht gefiltert ?

0xDEADC0DE 23. Aug 2013

Komm doch mal runter, du bist zu hoch, ich versteh dich net. :p

Kommentieren



Anzeige

  1. IT-Ingenieurinnen/IT-Ingenie- ure für Betreute Lokale Netze an beruflichen Schulen
    Landeshauptstadt München, München
  2. Java EE-Entwickler (Jee / J2ee) (m/w)
    Topcart GmbH, Wiesbaden
  3. Senior Betriebs-System Engineer (m/w)
    DATAGROUP Köln GmbH, Aschaffenburg
  4. Software Developer with Focus on Application Development (m/w)
    OMICRON electronics GmbH, Klaus (Österreich)

 

Detailsuche


Hardware-Angebote
  1. NEU: Samsung Galaxy S6 und S6 Edge im Preisvergleich
    ab 699,00€
  2. TIPP: Evga Geforce GTX 960 SuperSC
    mit 20 Euro Cashback nur 194,90€ bezahlen
  3. Seagate 8-TB-Festplatte vorbestellbar
    264,00€

 

Weitere Angebote


Folgen Sie uns
       


  1. Microsoft

    Faltbare Tastatur für die Jackentasche

  2. Smartwatch

    Apple Watch kommt im April nach Deutschland

  3. Epic Games

    Unreal Engine mit Quellcode jetzt kostenlos

  4. Projekt Nova

    Google bestätigt Planung eigener Mobilfunktarife

  5. Screamride im Test

    Achterbahn mit Zerstörungsdrang

  6. Sofia und Cherry Trail

    Intels neue Atom-x-Modelle bieten eine dicke Grafikeinheit

  7. Geplante Obsoleszenz

    Ein Viertel aller Flat-TVs wird wegen Defekt ausgetauscht

  8. Europa

    Telekom stellt pro Woche 100.000 Anschlüsse auf All-IP um

  9. Zend

    Experimentelle JIT-Engine für PHP veröffentlicht

  10. Jolla Tablet im Hands on

    Sailfish OS funktioniert auch auf dem Tablet



Haben wir etwas übersehen?

E-Mail an news@golem.de



IMHO: Mars One wird scheitern
IMHO
Mars One wird scheitern
  1. Raumfahrt Raumsonde New Horizons knipst Pluto-Monde
  2. Saturnmond Titan Nasa baut ein U-Boot für die Raumfahrt
  3. Kamera der Apollo-11-Mission Neil Armstrongs Souvenirs von der Mondreise

Technical Preview im Test: So fühlt sich Windows 10 für Smartphones an
Technical Preview im Test
So fühlt sich Windows 10 für Smartphones an
  1. Internet Explorer Windows 10 soll asm.js voll unterstützen
  2. Microsoft Windows 10 erhält Anmeldestandard Fido
  3. Mobiles Betriebssystem Technical Preview von Windows 10 für Smartphones ist da

Lifetab P8912 im Test: Viel Rahmen für wenig Geld
Lifetab P8912 im Test
Viel Rahmen für wenig Geld
  1. Medion Lifetab P8912 9-Zoll-Tablet mit Infrarotsender kostet 180 Euro
  2. Medion Life X5001 5-Zoll-Smartphone mit Full-HD-Display für 220 Euro
  3. Lifetab S8311 8-Zoll-Tablet mit UMTS-Modem im Metallgehäuse für 200 Euro

  1. Re: wie oft wechselt ihr eure Akkus so?

    ChMu | 00:04

  2. Re: "bessere" Kamera?

    Hatt | 00:03

  3. Re: Windows Phone...

    Nikolaus117 | 00:00

  4. Warum hat Tim Cook Springer Verlag besucht?

    Bosshaft | 00:00

  5. Re: Ja ist das geil

    Johnny Cache | 02.03. 23:56


  1. 22:38

  2. 22:14

  3. 18:44

  4. 18:40

  5. 18:01

  6. 17:49

  7. 16:40

  8. 16:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel