Menü
Security

Angriffslustiger Orbit Downloader unter der Lupe

Von
vorlesen Drucken Kommentare lesen 77 Beiträge

Einst war der Orbit Downloader ein nützliches Freeware-Tool, jetzt muss man ihn als Malware bezeichnen.

Die Virenforscher von ESET haben den Angriffscode, der seit einiger Zeit in dem einst beliebten Gratis-Tool Orbit Downloader schlummert, ausführlich analysiert. Ihre Erkenntnisse lassen kaum einen Zweifel daran, dass die Anbieter des Tools ihre Absichten geändert haben – und jetzt faktisch ein Botnetz betreiben, das die Rechner der Nutzer für DDoS-Angriffe missbraucht.

Laut ESET wurde der Wechsel des Geschäftsmodells offenbar zur Jahreswende 2012/2013 zwischen der Veröffentlichung der Versionen 4.1.1.14 und 4.1.1.15 vollzogen. Zu diesem Zeitpunkt wurde der Orbit Downloader heimlich mit neuen Funktionen ausgerüstet. Seitdem verhält sich das Programm wie ein Bot: Es lädt Schadcode nach – das eigentliche Angriffstool. Darüber hinaus ruft der Orbit Downloader verschlüsselte Konfigurationsdateien vom offiziellen Update-Server ab, die unter anderem eine Liste der anzugreifenden Server enthalten.

Hinter den Kulissen versucht Orbit Downloader diverse Server aus dem Netz zu pusten, wie ein Blick in den Netzwerk-Traffic zeigt.

Dann geht der Downloader zum Angriff über: Während der Nutzer das Programm wie gewohnt benutzen kann, fährt das DDoS-Modul im Hintergrund eine schlagkräftige Attacke gegen seine Angriffsziele. Findet das Angriffsmodul die Netzwerkbibliothek WinPcap vor, die der Installer einzurichten versucht, führt es eine SYN-Flood-Attacke auf Port 80 aus. Andernfalls setzt es massenhaft HTTP Connection Request und UDP-Pakete ab.

Eine Analyse mit dem Virenscan-Dienst Virustotal zeigt, dass derzeit 18 von 46 AV-Engines das DDoS-Modul des Orbit Downloader als verdächtig einstufen. (rei)