Abo
  • Services:
Anzeige
Das Standalone-Programm von Orbit
Das Standalone-Programm von Orbit (Bild: Screenshot: Golem.de)

Eset DDoS-Trojaner im Download-Manager Orbit

Der Antivirenhersteller Eset warnt vor dem beliebten Programm Orbit. Bereits seit Monaten lädt Orbit nach der Installation ein Denial-of-Service-Modul nach, das später auch mit Listen von Angriffszielen versorgt und eingesetzt wird.

Anzeige

In einem ausführlichen Blogeintrag warnt Eset vor dem weit verbreiteten Download-Manager Orbit. Mindestens seit Januar 2013 steckt in den seitdem erschienenen Versionen eine Funktion für DDos-Attacken auf Webseiten. Eine solche Funktion in einem Download-Manager unterzubringen, ist für Personen mit zweifelhaften Absichten sehr reizvoll: Die Programme laufen bei vielen Anwendern rund um die Uhr und erzeugen beim Herunterladen von Dateien ohnehin Netzlast, so dass der Verkehr durch DDos-Attacken nicht unbedingt auffällt.

Das Programm Orbit gibt es bereits seit 2006, es ist nicht nur - wie auch der umstrittene JDownloader - für das Laden von aufgeteilten Archiven von Filehostern geeignet, was oft für Schwarzkopien genutzt wird. Orbit kann auch Videostreams von entsprechenden Webseiten direkt speichern und führt eine Liste von verbreiteter Software, die über das Programm automatisch aktualisiert werden kann. Für einige seiner Funktionen setzt das aus mehreren Modulen bestehende Orbit das Programm WinPcap ein, das als Treiber arbeitet, und Pakete noch vor dem Betriebssystem verarbeitet - darin liegt auch ein Ansatzpunkt für das DDos-Modul.

  • So warnt ein Eset-Scanner, wenn die Schadmodule nachgeladen werden. (Screenshot: Golem.de)
  • Die Startseite der Standalone-Anwendung von Orbit. (Screenshot: Golem.de)
  • Entschlüsselte Datei il.php mit Liste der Angriffsziele (Screenshot: Eset)
So warnt ein Eset-Scanner, wenn die Schadmodule nachgeladen werden. (Screenshot: Golem.de)

Irgendwann zwischen den Versionen 4.1.1.14 vom Dezember 2012 und 4.1.1.15 von Orbit kam laut Eset die Schadfunktion hinzu. Wie Golem.de auf einem isolierten Testrechner ausprobiert hat, ist sie auch in der aktuellen Version 4.1.1.18 noch enthalten. Sie wird aber erst nach der Installation des Programms beim ersten Start des Browsers, für den Orbit neben seiner Standalone-Anwendung ein Plugin bereitstellt, nachgeladen. Daher erkennt auch der Virenscanner von Eset das Downloadpaket von Orbit nach dem Download und während der Installation noch nicht als Malware.

Ist Orbit jedoch einmal installiert und der mit dem Plugin versehene Browser gestartet, wird sofort von den Servern der Orbit-Macher die Datei "ido.ipl" nachgeladen. Darin steckt eine DLL mit den DDos-Funktionen, Eset konnte bereits über ein Dutzend Versionen dieser DLL sichten. Danach wird in unregelmäßigen Abständen eine verschlüsselte PHP-Datei von den Orbit-Servern geladen, welche die Domains enthält, die angegriffen werden sollen. Das erfolgt dann, wenn WinPcap aktiviert ist - Orbit schlägt dessen Installation vor - über SYN-Floods, ohne WinPcap über HTTP-Verbindungsanforderungen. Am Gigabit-Port eines Testrechners zählte Eset dabei über 140.000 Pakete pro Sekunde bei HTTP-Requests.

Eset blockiert Installation der Schadmodule

Da es sich mit solchem Verhalten kaum noch um einen Fehler handeln kann und der Nutzer sich unter Umständen strafbar macht, wenn er wissentlich ein von Dritten gesteuertes DDoS-System auf seinem Rechner betreibt, hat Eset Orbit nun als Malware eingestuft. Das Programm lässt sich zwar noch voll funktionsfähig installieren, das Nachladen der kritischen Komponenten verhindert Eset mit seinen Antivirenprogrammen, sofern diese Signaturen ab der Version 8604 einsetzen. Ein Testrechner von Golem.de mit Eset-Signaturen in Version 8719 erkannte die DDoS-Komponenten von Orbit zuverlässig, sie wurden nicht installiert, sondern in die Quarantäne des Scanners verschoben.

Wie das ausgeklügelte DDoS-System in den beliebten Download-Manager gelangen konnte, und warum dessen Komponenten bis hin zu den Angriffslisten von den Servern der Orbit-Macher geladen werden, ist noch ungeklärt. Das Unternehmen Innoshock, das nach eigenen Angaben hinter Orbit steht, hat sich dazu noch nicht geäußert.


eye home zur Startseite
x2k 26. Aug 2013

Wird denn die verbindung von virtueller maschiene zim wirts system nicht gefiltert ?

0xDEADC0DE 23. Aug 2013

Komm doch mal runter, du bist zu hoch, ich versteh dich net. :p



Anzeige

Stellenmarkt
  1. Rhenus Assets & Services GmbH & Co. KG, Holzwickede
  2. Bosch Sensortec GmbH, Reutlingen
  3. MBtech Group GmbH & Co. KGaA, Neu-Ulm, Lindau
  4. über SCHLAGHECK RADTKE OLDIGES executive consultants GmbH, München


Anzeige
Blu-ray-Angebote
  1. 5,49€
  2. 21,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Homefront 7,97€, The Wave 6,97€, Lone Survivor 6,97€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. SWEET32

    Kurze Verschlüsselungsblöcke sorgen für Kollisionen

  2. Mobilfunk

    Telekom bietet Apple Music wohl als Streamingoption an

  3. Android 7.0

    Erste Nougat-Portierungen für Nexus 5 und Nexus 7 verfügbar

  4. DSLR

    Canon EOS 5D Mark IV mit 30,4 Megapixeln und 4K-Video

  5. Touchscreen-Ausfälle

    iPhone 6 und 6 Plus womöglich mit Konstruktionsfehler

  6. Honor 8

    Dual-Kamera-Smartphone kostet ab 400 Euro in Deutschland

  7. Eigengebote

    BGH verurteilt Preistreiber zu hohem Schadenersatz

  8. IDE

    Kdevelop 5.0 nutzt Clang für Sprachunterstützung

  9. Hybridluftschiff

    Airlander 10 landet auf der Nase

  10. Verschlüsselung

    Regierung will nun doch keine Backdoors



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Radeon RX 460: AMDs kleinste Polaris-Karte braucht mehr Speicher
Radeon RX 460
AMDs kleinste Polaris-Karte braucht mehr Speicher
  1. Polaris-Grafikkarten Neuer Treiber steigert Bildrate in Tomb Raider
  2. Polaris-Grafikkarten AMD stellt Radeon RX 470 und RX 460 vor
  3. Radeon Pro SSG AMD zeigt Profi-Karte mit SSDs für ein TByte Videospeicher

Radeon RX 470 im Test: Die 1080p-Karte für High statt Ultra
Radeon RX 470 im Test
Die 1080p-Karte für High statt Ultra
  1. Radeons RX 480 Die Designs von AMDs Partnern takten höher - und konstanter
  2. Radeon Software 16.7.2 Neuer Grafiktreiber macht die RX 480 etwas schneller
  3. Radeon RX 480 erneut vermessen Treiber reduziert Stromstärke auf PEG-Slot

Garmin Vivosmart HR+ im Hands on: Das Sport-Computerchen
Garmin Vivosmart HR+ im Hands on
Das Sport-Computerchen
  1. Polar M600 Sechs LEDs für eine Pulsmessung
  2. Kluge Uhren Weltweiter Smartwatch-Markt bricht um ein Drittel ein
  3. Garmin Edge 820 Radcomputer zeigt Position der Tourbegleiter

  1. Re: Sehr erfreulich!

    Steffo | 09:40

  2. Re: Wen soll das ansprechen

    Garius | 09:40

  3. Re: Regierung?

    Schnarchnase | 09:40

  4. Re: Irgendwas machen die Leute falsch

    Screeny | 09:40

  5. Re: Verstehe den eBay Tipp nicht

    drvsouth | 09:39


  1. 09:31

  2. 09:15

  3. 08:51

  4. 07:55

  5. 07:27

  6. 19:21

  7. 17:12

  8. 16:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel