Eset warnt vor DDoS-Trojaner im Download-Manager Orbit

Der gefährliche Code wird nach der Installation per Update aus dem Internet nachgeladen. Dadurch können Cyberkriminelle einen mit Orbit infizierten PC zu verteilten Dienstblockade (DDoS) mißbrauchen. Zahlreiche Download-Portale haben das Programm bereits aus ihrem Angebot gestrichen.

esetDer Antiviren-Spezialist Eset warnt vor dem populären Download-Tool Orbit. Nach einer detaillierten Analyse kommen die Experten zu dem Ergebnis, dass Cyberkriminelle mit Orbit infizierte PCs zu einer verteilten Dienstblockade (Disributed Denial of Service, DDoS) nutzen können.

Der gefährliche Code ist laut Eset schon länger Bestandteil des Programms. Sobald orbitdm.exe geladen ist, startet es eine Reihe von Kommunikationsbefehlen mit Servern auf orbitdownloader.com. Dadurch werden eine DLL (ido.ipl) und eine PHP-Konfigurationsdatei versteckt heruntergeladen. Letztere enthält die Adressen der Server, die angegriffen werden sollen. Die Experten zählten bei einer aktiven DDoS-Attacke über 140.000 Pakete pro Sekunde bei HTTP-Requests.

Eset hat zudem festgestellt, dass DLL und Konfigurationsdatei häufig aktualisiert werden. Die Spezialisten schließen daraus, dass Cyberkriminelle Orbit-Nutzer aktiv zu DDoS-Attacken managen. Zudem sind sie überrascht, dass ein derart populäres Tool als DDoS-Waffe eingesetzt wird. Möglicherweise wurde der Server des Entwicklers komprommitiert und das Programm von Cyberkriminellen für ihre Zwecke modifiziert. Der Entwickler hat auf eine entsprechende Anfrage noch nicht reagiert.

Noch immer steht die aktuelle Version 4.1.1.18 zum Download parat. Ein Test bei Virustotal ergibt, dass das eigentliche Programm nicht als gefährlich eingestuft wird. Immerhin entdecken 6 von 46 Antivirenlösungen, dass Orbit die Adware OpenCandy enthält. Eine Analyse der nachgeladenen DLL ido.ipl stufen 22 der 46 Programme als gefährlichen Trojaner respektive DDoS-Code (Win32/DDoS.Orbiter.A) ein.

Zahlreiche Download-Portale haben Orbit Downloader inzwischen aus ihrem Angebot gestrichen.

Den gefährlichen Code lädt Orbit nach der Installation nach. Damit können infizierte Rechner zu DDoS-Attacken genutzt werden.Den gefährlichen Code lädt Orbit nach der Installation nach. Damit können infizierte Rechner zu DDoS-Attacken genutzt werden (Bild: Eset).

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Eset warnt vor DDoS-Trojaner im Download-Manager Orbit

Kommentar hinzufügen
  • Am 26. August 2013 um 22:01 von hans

    Na da haben wir doch noch viel mehr Kandidaten im Netz, die Malware, und das sogar von deutschen Seiten aus, deren Provider (1und1) dies nicht weiter verfolgen. So what?
    (man google mal nach „rollershop“ und klicke das Suchergebnis ‚rollershop.de‘ an… lässt sich dann nur wieder mit neuer Netz-IP repdoduzieren. Virenscanner sollte mitlaufen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *