Résoudre Tous Les Problèmes De Windows Et Autres Programmes

Un programme de gestion de téléchargement populaire a un composant DDoS caché, selon les chercheurs

Les versions récentes d'Orbit Downloader, un programme Windows populaire pour télécharger du contenu multimédia intégré et d'autres types de fichiers à partir de sites Web, transforment les ordinateurs en robots et les utilisent pour lancer des attaques par déni de service distribué (DDoS), selon des chercheurs en sécurité.

À partir de la version 4.1.1.14 publiée en décembre, le programme Orbit Downloader télécharge et utilise silencieusement un composant DLL (Dynamic Link Library) doté de la fonctionnalité DDoS, ont déclaré mercredi des chercheurs de logiciels malveillants du fournisseur d'antivirus ESET dans un article de blog .



Le composant malveillant est téléchargé à partir d'un emplacement sur le site Web officiel du programme, orbitdownloader.com, ont déclaré les chercheurs d'ESET. Un fichier de configuration crypté contenant une liste de sites Web et d'adresses IP (Internet Protocol) devant servir de cibles pour les attaques est téléchargé à partir du même site, ont-ils déclaré.



Orbit Downloader est développé depuis au moins 2006 et à en juger par les statistiques de téléchargement des sites de distribution de logiciels comme Download.com et Softpedia.com de CNET, c'est, ou était, un programme populaire.

google docs contre ms office

Orbit Downloader a été téléchargé près de 36 millions de fois depuis Download.com à ce jour et environ 12 500 fois la semaine dernière. Sa dernière version est la 4.1.1.18 et est sortie en mai.



Dans un examen du programme, un éditeur de CNET a noté qu'il installe des « programmes indésirables » supplémentaires et a suggéré des alternatives aux utilisateurs qui ont besoin d'une application de gestion de téléchargement dédiée.

Lorsqu'ils ont découvert le composant DDoS, les chercheurs d'ESET enquêtaient sur les « programmes indésirables » installés par Orbit Downloader afin de déterminer si le programme devait être signalé comme une « application potentiellement indésirable », connue dans l'industrie sous le nom de PUA.

'Le développeur [d'Orbit Downloader], Innoshock, génère ses revenus à partir d'offres groupées, telles qu'OpenCandy, qui est utilisé pour installer des logiciels tiers ainsi que pour afficher des publicités', ont déclaré les chercheurs, notant que de tels arrangements publicitaires sont normaux. comportement pour les programmes gratuits de nos jours.



'Ce qui est inhabituel, cependant, c'est de voir un utilitaire populaire contenant du code supplémentaire pour effectuer des attaques par déni de service (DoS)', ont-ils déclaré.

Le composant DDoS malveillant Orbit Downloader est désormais détecté par les produits ESET en tant que programme cheval de Troie appelé Win32/DDoS.Orbiter.A. Il est capable de lancer plusieurs types d'attaques, selon les chercheurs.

Tout d'abord, il vérifie si un utilitaire appelé WinPcap est installé sur l'ordinateur. Il s'agit d'un utilitaire tiers légitime qui fournit des fonctionnalités réseau de bas niveau, notamment l'envoi et la capture de paquets réseau. Il n'est pas fourni avec Orbit Downloader, mais peut être installé sur des ordinateurs par d'autres applications qui en ont besoin.

Si WinPcap est installé, le composant DDoS d'Orbit utilise l'outil pour envoyer des paquets TCP SYN sur le port 80 (HTTP) aux adresses IP spécifiées dans son fichier de configuration. «Ce type d'attaque est connu sous le nom d'inondation SYN», ont déclaré les chercheurs d'ESET.

Si WinPcap n'est pas présent, le composant escroc envoie directement des requêtes de connexion HTTP sur le port 80 aux machines ciblées, ainsi que des paquets UDP sur le port 53 (DNS).

Les attaques utilisent également des techniques d'usurpation d'adresse IP, les adresses IP sources pour les demandes tombant dans des plages d'adresses IP codées en dur dans le fichier DLL.

utiliser le téléphone Android comme point d'accès

'Sur un ordinateur de test de notre laboratoire doté d'un port Ethernet gigabit, les demandes de connexion HTTP ont été envoyées à un rythme d'environ 140 000 paquets par seconde, les adresses sources falsifiées semblant provenir en grande partie de plages d'adresses IP attribuées au Vietnam', ont déclaré les chercheurs d'ESET.

Après avoir ajouté une signature de détection pour le composant DLL, les chercheurs d'ESET ont également identifié un fichier plus ancien appelé orbitnet.exe qui avait presque les mêmes fonctionnalités que le fichier DLL, mais a téléchargé sa configuration à partir d'un site Web différent, et non d'orbitdownloader.com.

Cela suggère qu'Orbit Downloader avait peut-être une fonctionnalité DDoS avant la version 4.1.1.14. Le fichier orbitnet.exe n'est pas fourni avec les anciens programmes d'installation d'Orbit Downloader, mais il peut avoir été téléchargé après l'installation, comme le composant DLL.

C'est une possibilité, mais cela ne peut pas être démontré avec certitude, a déclaré jeudi Peter Kosinar, un membre technique d'ESET qui a participé à l'enquête. Il pourrait également être distribué par d'autres moyens, a-t-il déclaré.

Pour ajouter à la confusion, une version plus ancienne d'orbitnet.exe que celle trouvée par ESET est distribuée avec Orbit Downloader 4.1.1.18. La raison n'est pas claire car Orbit Downloader 4.1.1.18 télécharge et utilise également le composant DLL DDoS. Cependant, cela indique une relation claire entre orbitnet.exe et Orbit Downloader.

Le fait qu'un programme populaire comme Orbit Downloader soit utilisé comme outil DDoS crée des problèmes non seulement pour les sites Web qu'il est utilisé pour attaquer, mais aussi pour les utilisateurs dont les ordinateurs sont maltraités.

Selon Kosinar, il n'y a pas de limite de débit implémentée pour les paquets envoyés par le composant DDoS. Cela signifie que le lancement de ces attaques peut facilement consommer la bande passante de la connexion Internet de l'utilisateur, affectant sa capacité à accéder à Internet via d'autres programmes.

Les utilisateurs qui installent Orbit Downloader s'attendent à ce que le programme rationalise leurs téléchargements et augmente leur vitesse, mais il s'avère que l'application a l'effet inverse.

comment voir les fichiers dans icloud

Orbit Downloader est développé par un groupe appelé Innoshock, mais il n'est pas clair s'il s'agit d'une entreprise ou simplement d'une équipe de développeurs. Les tentatives de contacter Innoshock pour commenter jeudi via deux adresses Gmail répertoriées sur son site Web et le site Orbit Downloader, ainsi que via Twitter, sont restées sans réponse.

Les utilisateurs du programme semblent également avoir remarqué son comportement DDoS à en juger par les commentaires laissés sur Download.com et le forum de support Orbit Downloader.

Orbit Downloder version 4.1.1.18 génère une très grande quantité de trafic DDoS, un utilisateur nommé raj_21er dit sur le forum de support le 12 juin. « L'inondation DDoS est si énorme qu'elle bloque complètement les périphériques de passerelle/commutateurs réseau et interrompt l'ensemble du fonctionnement du réseau. »

'J'utilisais Orbit Downloader depuis une semaine sur mon bureau lorsque j'ai soudainement remarqué que l'accès à Internet était pratiquement mort au cours des 2 derniers jours', a déclaré un autre utilisateur nommé Orbit_User_5500. La désactivation du système de bureau a restauré l'accès Internet aux autres ordinateurs et périphériques du réseau, a-t-il déclaré.

Depuis l'ajout de la détection de ce composant DDoS, ESET a reçu des dizaines de milliers de rapports de détection par semaine des déploiements de ses produits antivirus, a déclaré Kosinar.