Angriffslustiger Orbit Downloader unter der Lupe

23.08.2013 15:28 Uhr Ronald Eikenberg

Der einst beliebte Download-Manager trägt nun den Beinamen Win32/DDoS.Orbiter.A. Er ist im Laufe der vergangenen Monate zur Malware mutiert und wird nun von vielen Virenscannern auch als solche erkannt.

Einst war der Orbit Downloader ein nützliches Freeware-Tool, jetzt muss man ihn als Malware bezeichnen.

Die Virenforscher von ESET haben den Angriffscode [1], der seit einiger Zeit in dem einst beliebten Gratis-Tool Orbit Downloader schlummert, ausführlich analysiert [2]. Ihre Erkenntnisse lassen kaum einen Zweifel daran, dass die Anbieter des Tools ihre Absichten geändert haben – und jetzt faktisch ein Botnetz betreiben, das die Rechner der Nutzer für DDoS-Angriffe missbraucht.

Laut ESET wurde der Wechsel des Geschäftsmodells offenbar zur Jahreswende 2012/2013 zwischen der Veröffentlichung der Versionen 4.1.1.14 und 4.1.1.15 vollzogen. Zu diesem Zeitpunkt wurde der Orbit Downloader heimlich mit neuen Funktionen ausgerüstet. Seitdem verhält sich das Programm wie ein Bot: Es lädt Schadcode nach – das eigentliche Angriffstool. Darüber hinaus ruft der Orbit Downloader verschlüsselte Konfigurationsdateien vom offiziellen Update-Server ab, die unter anderem eine Liste der anzugreifenden Server enthalten.

Hinter den Kulissen versucht Orbit Downloader diverse Server aus dem Netz zu pusten, wie ein Blick in den Netzwerk-Traffic zeigt.

Dann geht der Downloader zum Angriff über: Während der Nutzer das Programm wie gewohnt benutzen kann, fährt das DDoS-Modul im Hintergrund eine schlagkräftige Attacke gegen seine Angriffsziele. Findet das Angriffsmodul die Netzwerkbibliothek WinPcap vor, die der Installer einzurichten versucht, führt es eine SYN-Flood-Attacke auf Port 80 aus. Andernfalls setzt es massenhaft HTTP Connection Request und UDP-Pakete ab.

Eine Analyse mit dem Virenscan-Dienst Virustotal [3] zeigt, dass derzeit 18 von 46 AV-Engines das DDoS-Modul des Orbit Downloader als verdächtig einstufen. (rei [4])

URL dieses Artikels:
https://www.heise.de/-1941375

Links in diesem Artikel:
[1] https://www.heise.de/news/Warnung-vor-Orbit-Downloader-1923667.html
[2] http://www.welivesecurity.com/2013/08/21/orbital-decay-the-dark-side-of-a-popular-file-downloading-tool/
[3] https://www.virustotal.com/en/file/8d9d7e0dbcd9cc9de3b9b03b7166b22407d93c18447137211d8b1112de8cb91c/analysis/1377260318/
[4] mailto:rei@heise.de