Der Antiviren-Spezialist Eset warnt vor dem populären Download-Tool Orbit. Nach einer detaillierten Analyse kommen die Experten zu dem Ergebnis, dass Cyberkriminelle mit Orbit infizierte PCs zu einer verteilten Dienstblockade (Disributed Denial of Service, DDoS) nutzen können.
Der gefährliche Code ist laut Eset schon länger Bestandteil des Programms. Sobald orbitdm.exe geladen ist, startet es eine Reihe von Kommunikationsbefehlen mit Servern auf orbitdownloader.com. Dadurch werden eine DLL (ido.ipl) und eine PHP-Konfigurationsdatei versteckt heruntergeladen. Letztere enthält die Adressen der Server, die angegriffen werden sollen. Die Experten zählten bei einer aktiven DDoS-Attacke über 140.000 Pakete pro Sekunde bei HTTP-Requests.
Eset hat zudem festgestellt, dass DLL und Konfigurationsdatei häufig aktualisiert werden. Die Spezialisten schließen daraus, dass Cyberkriminelle Orbit-Nutzer aktiv zu DDoS-Attacken managen. Zudem sind sie überrascht, dass ein derart populäres Tool als DDoS-Waffe eingesetzt wird. Möglicherweise wurde der Server des Entwicklers komprommitiert und das Programm von Cyberkriminellen für ihre Zwecke modifiziert. Der Entwickler hat auf eine entsprechende Anfrage noch nicht reagiert.
Noch immer steht die aktuelle Version 4.1.1.18 zum Download parat. Ein Test bei Virustotal ergibt, dass das eigentliche Programm nicht als gefährlich eingestuft wird. Immerhin entdecken 6 von 46 Antivirenlösungen, dass Orbit die Adware OpenCandy enthält. Eine Analyse der nachgeladenen DLL ido.ipl stufen 22 der 46 Programme als gefährlichen Trojaner respektive DDoS-Code (Win32/DDoS.Orbiter.A) ein.
Zahlreiche Download-Portale haben Orbit Downloader inzwischen aus ihrem Angebot gestrichen.
Neueste Kommentare
1 Kommentar zu Eset warnt vor DDoS-Trojaner im Download-Manager Orbit
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Na da haben wir doch noch viel mehr Kandidaten im Netz, die Malware, und das sogar von deutschen Seiten aus, deren Provider (1und1) dies nicht weiter verfolgen. So what?
(man google mal nach „rollershop“ und klicke das Suchergebnis ‚rollershop.de‘ an… lässt sich dann nur wieder mit neuer Netz-IP repdoduzieren. Virenscanner sollte mitlaufen!