Eset: DDoS-Trojaner im Download-Manager Orbit
Der Antivirenhersteller Eset warnt vor dem beliebten Programm Orbit. Bereits seit Monaten lädt Orbit nach der Installation ein Denial-of-Service-Modul nach, das später auch mit Listen von Angriffszielen versorgt und eingesetzt wird.
In einem ausführlichen Blogeintrag warnt Eset vor dem weit verbreiteten Download-Manager Orbit. Mindestens seit Januar 2013 steckt in den seitdem erschienenen Versionen eine Funktion für DDos-Attacken auf Webseiten. Eine solche Funktion in einem Download-Manager unterzubringen, ist für Personen mit zweifelhaften Absichten sehr reizvoll: Die Programme laufen bei vielen Anwendern rund um die Uhr und erzeugen beim Herunterladen von Dateien ohnehin Netzlast, so dass der Verkehr durch DDos-Attacken nicht unbedingt auffällt.
Das Programm Orbit gibt es bereits seit 2006, es ist nicht nur - wie auch der umstrittene JDownloader - für das Laden von aufgeteilten Archiven von Filehostern geeignet, was oft für Schwarzkopien genutzt wird. Orbit kann auch Videostreams von entsprechenden Webseiten direkt speichern und führt eine Liste von verbreiteter Software, die über das Programm automatisch aktualisiert werden kann. Für einige seiner Funktionen setzt das aus mehreren Modulen bestehende Orbit das Programm WinPcap ein, das als Treiber arbeitet, und Pakete noch vor dem Betriebssystem verarbeitet - darin liegt auch ein Ansatzpunkt für das DDos-Modul.
Irgendwann zwischen den Versionen 4.1.1.14 vom Dezember 2012 und 4.1.1.15 von Orbit kam laut Eset die Schadfunktion hinzu. Wie Golem.de auf einem isolierten Testrechner ausprobiert hat, ist sie auch in der aktuellen Version 4.1.1.18 noch enthalten. Sie wird aber erst nach der Installation des Programms beim ersten Start des Browsers, für den Orbit neben seiner Standalone-Anwendung ein Plugin bereitstellt, nachgeladen. Daher erkennt auch der Virenscanner von Eset das Downloadpaket von Orbit nach dem Download und während der Installation noch nicht als Malware.
Ist Orbit jedoch einmal installiert und der mit dem Plugin versehene Browser gestartet, wird sofort von den Servern der Orbit-Macher die Datei "ido.ipl" nachgeladen. Darin steckt eine DLL mit den DDos-Funktionen, Eset konnte bereits über ein Dutzend Versionen dieser DLL sichten. Danach wird in unregelmäßigen Abständen eine verschlüsselte PHP-Datei von den Orbit-Servern geladen, welche die Domains enthält, die angegriffen werden sollen. Das erfolgt dann, wenn WinPcap aktiviert ist - Orbit schlägt dessen Installation vor - über SYN-Floods, ohne WinPcap über HTTP-Verbindungsanforderungen. Am Gigabit-Port eines Testrechners zählte Eset dabei über 140.000 Pakete pro Sekunde bei HTTP-Requests.
Eset blockiert Installation der Schadmodule
Da es sich mit solchem Verhalten kaum noch um einen Fehler handeln kann und der Nutzer sich unter Umständen strafbar macht, wenn er wissentlich ein von Dritten gesteuertes DDoS-System auf seinem Rechner betreibt, hat Eset Orbit nun als Malware eingestuft. Das Programm lässt sich zwar noch voll funktionsfähig installieren, das Nachladen der kritischen Komponenten verhindert Eset mit seinen Antivirenprogrammen, sofern diese Signaturen ab der Version 8604 einsetzen. Ein Testrechner von Golem.de mit Eset-Signaturen in Version 8719 erkannte die DDoS-Komponenten von Orbit zuverlässig, sie wurden nicht installiert, sondern in die Quarantäne des Scanners verschoben.
Wie das ausgeklügelte DDoS-System in den beliebten Download-Manager gelangen konnte, und warum dessen Komponenten bis hin zu den Angriffslisten von den Servern der Orbit-Macher geladen werden, ist noch ungeklärt. Das Unternehmen Innoshock, das nach eigenen Angaben hinter Orbit steht, hat sich dazu noch nicht geäußert.
Wird denn die verbindung von virtueller maschiene zim wirts system nicht gefiltert ?
Komm doch mal runter, du bist zu hoch, ich versteh dich net. :p