Orbit: Warnung vor dem DDoS-Trojaner

Der beliebte Download-Manager Orbit lädt seit Monaten nach der Installation ein DDoS-Modul nach, welches später auch mit Listen von Angriffszielen versorgt und eingesetzt wird. Der Antivirenhersteller Eset hat nun vor dem Programm gewarnt. 



Der Antiviren-Spezialist Eset warnt in einem ausführlichen Blogeintrag vor dem Download-Programm Orbit. Mindestens seit Januar 2013 versteckt sich in den seitdem erschienenen Versionen eine Funktion für Denial-of-Service-Attacken auf Webseiten. Mit dem kostenlosen Orbit Downloader kann man nahezu jede Datei herunterladen.

Was ist Orbit?

Das Programm existiert bereits seit 2006. Es soll neben HTTP-, HTTPS- und FTP-Datenübertragungen sogar in der Lage sein, in Webseiten eingebettete Rich-Media-Inhalte wie Musik oder Videos auf die eigene Festplatte zu bringen. So können User mit der Funktion „Grab++“ per rechtem Mausklick geschützte MP3-Dateien von Pandora, Radioblogclub, Yahoo Music oder MySpaye Music downloaden. Auch Videos von Clip-Portalen wie YouTube, MyVideo, Google Video, Metacafe oder MySpace Video stellen so kein Problem für Orbit dar. Da sich solche Download-Manager an immer größerer Beliebtheit erfreuen – auch dank des Ladens von aufgeteilten Archiven von Filehostern im Hinblick auf Schwarzkopien – laufen die Programme bei vielen Anwendern rund um die Uhr. Diese Tatsache ist für Cyberkriminelle natürlich sehr reizvoll, wird doch immerhin durch das Herunterladen von Dateien eh Netzlast erzeugt, sodass der Verkehr durch DDoS-Attacken nicht unbedingt auffällt. Für einige seiner Funktionen nutzt Orbit das Programm WinPcap, welches als Treiber fungiert und Pakete noch vor dem Betriebssystem verarbeitet – und da wären wir auch schon bei einem Anhaltspunkt für das DDoS-Modul.

Laut Eset kam die Schadfunktion irgendwann zur Jahreswende 2012/2013 zwischen der Veröffentlichung der Versionen 4.1.1.14 und 4.1.1.15 hinzu. Auch auf der aktuellen Version 4.1.1.28 ist diese noch enthalten, wird allerdings erst nach der Installation des Programms beim ersten Start des Browsers nachgeladen. Daher wird das Downloadpaket von Orbit nach dem Download und während der Installation vom Eset-Virenscanner noch nicht als Malware erkannt. Doch wenn Orbit erst einmal installiert und der mit dem Plugin vorgesehene Browser gestartet ist, fängt das Dilemma an und von den Servern der Orbit-Macher wird sofort die Datei „ido.ipl“ nachgeladen. In diesem File steckt eine DLL mit den DDoS-Funktionen. Eset fand bereits über ein Dutzend Versionen dieser DLL. Im nächsten Schritt wird in unregelmäßigen Abständen eine verschlüsselte PHP-Datei geladen, welche den Namen der Domains enthält, die angegriffen werden sollen. Diese Angriffe erfolgen sobald WinPcap aktiviert ist – dessen Installation Orbit vorschlägt – über SYN-Floods auf Port 80 und ohne das Programm über HTTP-Verbindungsanforderungen. Eset zählte am Gigabit-Port eines Testrechners über 140.000 Pakete pro Sekunde bei HTTP-Requests.

Eset blockiert Installation der Schadmodule

In Anbetracht der Tatsache, dass es sich bei einem solchen Verhalten wohl kaum noch um einen Fehler handeln kann und sich der Nutzer unter Umständen sogar strafbar macht, wenn er wissentlich ein von Dritten gesteuertes DDoS-System auf seinem Rechner nutzt, wurde der Orbit Downloader von Eset nun als Malware eingestuft. Es lässt sich zwar noch voll funktionsfähig installieren, jedoch wird das Nachladen der kritischen Module durch das Antivirenprogramm verhindert. Allerdings ist dies nur bei Eset-Signaturen ab Version 8604 der Fall, da entsprechende Antivirenprogramme die DDoS-Komponente direkt in die Quarantäne des Scanners verschieben.

Keine Stellungnahme der Betreiber

Bisher ist noch völlig unklar, wie das fiese DDoS-System in den weit verbreiteten Download-Manager gelangen konnte. Auch ist noch nicht geklärt, wie sowohl die dazugehörigen Komponenten als auch die Angriffslisten von den Orbit-Servern geladen werden. Es muss nicht zwangsweise bedeuten, dass die Entwickler dahinterstecken, da es auch sein kann, dass die Server der Entwickler komprommitiert und so das Programm für ihre Zwecke modifiziert haben. Das Unternehmen Innoshock, welches hinter Orbit steckt, hat sich zu dem Vorfall noch nicht geäußert.

Technikbetreiber wie beispielsweise Chip.de haben bereits auf den Schadsoftware-Befall reagiert und den Download des Orbit Downloaders aus dem Sortiment genommen.

Chip_Orbit

Alternative Download-Manager

Wer nach den Fakten von Orbit nun die Nase voll hat, der hat natürlich die Möglichkeit sich eines anderen Programmes zu bedienen, mit welchem die Downloads verwaltet werden. Hier habt ihr einige Alternativen:

  • Aria (Open Source) [Linux]
  • CryptLoad (Freeware) [Windows]
  • cURL (Open Source) [Linux / Mac OS X / Windows]
  • DownThemAll (Open Source) [Add-on für Firefox]
  • Free Download Manager (Open Source) [Windows]
  • Freemium TubeBox (Adware) [Windows]
  • GWGET (open Source) [Linux]
  • JDownloader (Open Source) [Linux / Mac OS X / Windows]
  • KGet (Open Source) [Linux]
  • pyLoad (Open Source) [Linux / Mac OS X / Windows]
  • SFT-Loader (Freeware) [Windows]
  • TrueDownloader (Open Source) [Windows]
  • wget (Open Source) [Linux / Mac OS X / Windows]

 

Über Nicole Winkler

Nicole ist eine der Mitgründerin von TechnologieJunkies. Heimliche Leseratte und Liebhaberin guter Filme und Serien. Mag Animes, Sushi und ist Fan der Kassel Huskies. Interessiert sich für das Gaming und allerlei technische Spielereien. Ursprünglich a bayrisches Madl, lebt und bloggt nun jedoch im schönen Kassel.

Ebenfalls interessant

Google plant YouTube Red zum Netflix-Konkurrenten aufzurüsten

Facebook Twitter Google+ Pinterest Pocket Facebook Twitter Google+ Pinterest LinkedIn Digg Del StumbleUpon Tumblr VKontakte …

Kommentar verfassen