Потенциально опасный функционал был скрыт от пользователей и, возможно, даже от разработчиков.
Популярный среди пользователей операционной системы Windows загрузчик Orbit Downloader, как выяснилось, содержит скрытый инструмент для проведения DDoS-атак. При этом о наличии потенциально опасного компонента не подозревали не только пользователи, но, возможно, и разработчики.
Программа Orbit Downloader стала доступной для свободного скачивания примерно с 2006 года. Учитывая тот факт, что загрузчик является абсолютно бесплатным, а также то, что частично он распространялся с «потенциально нежелательными приложениями» сделало его довольно популярным.
Скрытый компонент был обнаружен исследователями из ESET в ходе проведения рутинного анализа программного обеспечения. После более подробного рассмотрения программы и ее более ранних версий выяснилось, что DDoS-инструмент был внедрен в исходный код Orbit Downloader где-то между версиями 4.1.1.14 (25 декабря 2012 года) и 4.1.1.15 (10 января 2013 года).
Работает компонент по следующему сценарию: при его установке на систему, он обращается к домену orbitdownloader.com, откуда скачивает конфигурационный файл со списком URL и целевых IP-адресов, а также Win32 PE DLL файл, предназначенный для осуществления атак.
Вирусописатели предусмотрели возможность проведения двух типов DDoS-атак. Какая из них будет использоваться зависит от наличия в установочном файле Orbit Downloader стороннего инструмента WinPcap. Если он есть, то на целевой адрес (на port 80) посылаются специально сформированные TCP SYN пакеты, а источник атаки маскируется случайным IP-адресом. В противном случае по заданному адресу (на port 80) посылается множество HTTP запросов на соединение, а также UDP датаграмм (на port 53).
В настоящий момент остается непонятным, замешаны ли в распространении DDoS-инструмента разработчики Orbit Downloader. В настоящий момент загрузчик все еще доступен для скачивания на его официальном сайте, однако многие популярные web-ресурсы, распространяющие различное ПО, удалили его. Кроме того, большинство антивирусных компаний внесли уязвимую версию программы в свои сигнатуры.
http://www.welivesecurity.com/2013/08/21/o...wnloading-tool/
Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...
Внимание! У статьи пока нет комментариев, оставьте первым свой комментарий?