Warnung vor Orbit Downloader
Der Download-Manager beteiligt sich unmittelbar nach dem Start an einem Cyber-Angriff auf vietnamesische IP-Adressen und legt damit auch das lokale Netz lahm.
- Ronald Eikenberg
Wer den Download-Manager Orbit Downloader auf seinem System installiert hat, sollte ihn umgehend entfernen: Das Freeware-Tool beteiligt sich unmittelbar nach seinem Start an einem Cyber-Angriff auf mehrere IP-Adressen in Vietnam.
Nach einem Hinweis der Sicherheitsfirma Cyberoam konnte heise Security den Orbit Downloader dabei beobachten, wie er innerhalb kurzer Zeit mehrere Millionen SYN-Pakete an die IP-Adressen 118.69.172.112 und 118.69.172.247 mit gefälschten Absenderadressen verschickte. Das beobachtete Verhalten lässt keinen Interpretationsspielraum: Es handelt sich um einen sogenannten SYN-Flood-Angriff, bei dem es darum geht, Systeme durch Überlastung lahm zu legen (DoS, Denial of Service). Offenbar hat es der Orbit Downloader auf die im Vietnam beheimateten IP-Adressen abgesehen.
Das SYN-Flooding hat allerdings auch für das lokale Netz Konsequenzen: Netzwerkgeräte, die das Dauerfeuer durchleiten müssen, brechen unter der Last unter Umständen zusammen. Bei einem Test von heise Security mit der aktuellen Version 4.1.1.18 des Orbit Downloader dauerte es nicht lange, bis das Testnetz zusammenbrach und der Router zum Neustart ansetzte. Der Angriff endet, wenn man das Programmfenster schließt und das Tool anschließend über das Tray-Symbol beendet.
Bei einer Analyse mit dem Meta-Virenscanner Virustotal hatten nur zwei der 46 eingesetzten AV-Engines etwas zu bemängeln. ESET hat die Installationsdatei des Orbit Downloader aufgrund der mitgelieferten Adware als Win32/OpenCandy bezeichnet, Kaspery meldete "not-a-virus:NetTool.Win32.GushUnleashed.a".
Siehe hierzu auch auf heise Security:
(rei)
