ESET : Το Orbit Downloader έχει trojan!
Ερευνητές της εταιρείας ESET που ασχολείται με τη δημιουργία λύσεων λογισμικού ασφάλειας, ανακοίνωσαν ένα πολύ σημαντικό κενό ασφαλείας σε γνωστή εφαρμογή των Windows.
Μόλις γίνεται εκκίνηση της εφαρμογής, ξεκινάει παράλληλα και μια σειρά επικοινωνιών με τους servers του orbitdownloader.com. Στη συνέχεια η client εφαρμογή κατεβάζει μέσω http χωρίς να φαίνεται ένα Win32 PE DLL αρχείο καθώς και ένα αρχείο ρυθμίσεων που περιλαμβάνει μια σειρά από URL διευθύνσεις και μια τυχαία IP διεύθυνση για το κάθε URL.
Η εφαρμογή και η λίστα, συμμετέχουν στη διεξαγωγή μιας επίθεσης συνήθως με τη δημιουργία πολλαπλών αιτημάτων σύνδεσης στην http port 80 και στα UDP datagrams στην DNS port 53. Η IP διεύθυνση που περιλαμβάνεται στο αρχείο ρυθμίσεων, χρησιμοποιείται ως η πηγή διευθύνσεων για τη διαδικτυακή επίθεση.
Οι δοκιμές της ESET δείχνουν επίσης ότι οι αρκετές εκδόσεις του DLL και των περιεχομένων του αρχείου με τις διευθύνσεις, αλλάζουν αρκετά συχνά κάτι που φανερώνει ότι οι DDOS επιθέσεις του Orbit Downloader ενορχηστρώνονται από κάπου.
Η ESET εκφράζει την έκπληξη της για το πως τέτοιες επιθέσεις μπορούν να αποτελούν μέρος μια τόσο δημοφιλούς εφαρμογής αν και παραμένει η πιθανότητα ότι η ιστοσελίδα της κατασκευάστριας εταιρείας να έχει πέσει θύμα κακόβουλης ενέργειας. Μέχρι αυτή τη στιγμή πάντως, η εφαρμογή (έκδοση 4.1.1.18) είναι ακόμα διαθέσιμη από την ιστοσελίδα της εταιρείας με τις κακόβουλες ενέργειες να συνεχίζονται.