Специалисты из антивирусной компании ESET опубликовали разоблачительную статью по поводу программы Orbit Downloader, который работает как встроенный менеджера закачек для браузера, например, помогает скачивать видеоролики YouTube. Этот софт распространялся через многие популярные порталы, в том числе BetaNews, DownloadCrew, Softpedia, Softonic, MajorGeeks и др. Сейчас все перечисленные сайты убрали его со своих страниц.


Интерфейс Orbit Downloader

Программа Orbit Downloader известна с 2006 года, распространяется бесплатно и за все годы не проявила себя ничем компрометирующим. Разве что стандартной практикой устанавливать в комплекте с софтом стороннее ПО по партнерским программам. Программы вроде «Яндекс.Браузера» или «Mail.ru Агента» традиционно распространяются таким образом, когда компании платят сторонним разработчикам за внедрение своего софта в их бесплатные утилиты. Но в наше время это считается нормальным способом монетизации freeware.

В программе Orbit Downloader обнаружилась гораздо более удивительная вещь — скрытый код для проведения DDoS-атак. Исследователи ESET обнаружили его случайно во время рутинной проверки. Таким образом, они были вынуждены классифицировать Orbit Downloader в качестве зловреда Win32/DDoS.Orbiter.A.

По мнению исследователей, вредоносный компонент был внедрен в файл orbitdm.exe в промежутке между 25 декабря 2012 года (версия 4.1.1.14) и 10 января 2013 года (версия 4.1.1.15).

Вредоносный код делает следующее. Файл orbitdm.exe отправляет запрос HTTP GET к серверу hXXp://obupdate.orbitdownloader.com/update/myinfo.php, откуда получает адрес библиотеки Win32 PE DLL, в фоновом режиме загружает ее, а затем скачивает список URL’ов для проведения DDoS-атаки. Если в системе установлена программа WinPcap, то генерируется специального вида SYN-флуд, в противном случае — поток HTTP-запросов на 80-й порт и UDP-пакетов на 53-й порт жертвы. Во время проверки тестовый компьютер ESET умудрялся генерировать поток 140 тыс. пакетов в секунду.



Оставить мнение