Вирусни аналитици от компанията ESET
съобщиха, че последните версии на популярния мениджър за изтегляне на файлове и видеосъдържание
Orbit Downloader превръща компютъра в бот, който може да бъде използван за извършване на DDoS-атаки. Всички версии на Orbit Downloader след 4.1.1.14 включително (която се появи през декември миналата година), свалят от официалния сайт на програмата
orbitdownloader.com и използват DLL-библиотека (Dynamic Link Library), притежаваща функционалност на DDoS-инструмент. Нейният криптиран конфигурационен файл съдържа списък от уеб сайтове и IP-адреси, които могат да бъдат обект на атаки. Новината бе съобщена от едни от най-уважаваните източници в уеб-пространството -
ZDNet и
PCWorld, а сайтът
Softpedia свали програмата от своя каталог до изясняване на случая.Orbit Downloader се разработва от 2006 година и се радва на голяма популярност сред потребителите. Като пример изданията посочват, че само в сайта
download.com приложението е свалено над 36 милиона пъти, от които 12 500 - през последната седмица. Най-новата версия на програмата, 4.1.1.18, бе пусната за сваляне през май 2013 година. Както установили изследователите, по време на инсталационния процес Orbit Downloader инсталира на компютъра без да уведомява потребителя още една програма, отнасяща се към категорията на потенциално нежеланите приложения (potentially unwanted application, PUA). В самия факт на инсталирането на такъв софтуер няма нищо чудно, нито изненадващо - понастоящем това е разпространена практика, която се практикува от много разработчици с цел печалба. Обикновено "екстрите" са различни тулбарове, рекламни приложения и т.н. Припомняме, че разработчикът на Download-мениджъра Innoshock печели от пакетни предложения, например OpenCandy, което се използва за инсталиране на софтуер на трети страни и показване на реклама. Това, което е необичайно, е използването на допълнителен код за извършване на DDoS-атаки, при това без знанието и участието на собственика на компютъра.Откритият вредоносен компонент на Orbit Downloader се разпознава от продуктите на ESET като Win32/DDoS.Orbiter.A. При попадане в компютъра троянският кон проверява дали на него е инсталирано приложението WinPcap, което позволява на трети лица да изпращат и получават пакети през мрежата. Ако открие WinPcap, компонентът Orbit DDoS го използва за изпращане на пакети TCP SYN през порт 80 (HTTP) към посочените в конфигурационния файл IP-адреси. Ако приложението не е инсталирано на компютъра, вредоносният компонент директно изпраща към целевата машина HTTP-заявка и UDP-пакети. При тестването в лабораторни условия е било установено изпращане на заявки с честота до 140 хиляди пакета в секунда.Във
форума на разработчиците на програмата досега са създадени няколко теми по въпроса, но в никоя от тях не е получен отговор. Softpedia
препоръчва на своите потребители да деинсталират Orbit Downloader.
