كد خرابكار در نرم افزار Orbit Downloader

موسسه خبری سایبربان: محققان شركت امنیتی ESET در یك برنامه مشهور دانلود تحت ویندوز یعنی Orbit Downloader، یك كد حمله انكار سرویس توزیع شده (DDoS) یافته‌اند كه از راه دور به‌روز رسانی می‌شود. DDoS بی سر و صدا توسط وب‌سرورهای این شركت برای هدایت حملات كنترل می‌شوند.

به نظر می‌رسد كه این تابع انكار سرویس توزیع شده مدتی است كه در این برنامه وجود دارد. زمانی كه برنامه orbitdm.exe اجرا می‌شود، مجموعه‌ای از ارتباطات را با سرورهایی در orbitdownloader.com برقرار می‌كند كه در نتیجه، سیستم كلاینت به آرامی و از طریق HTTP، یك فایل Win32 PE DLL و یك فایل پیكربندی حاوی فهرستی از URL ها و یك آدرس IP تصادفی به ازای هر URL را دانلود می‌كند.

این برنامه و این فهرست برای هدایت یك حمله SYN flood یا موجی از درخواست‌های ارتباط HTTP بر روی پورت 80 و موجی از Datagram های UDP بر روی پورت 53 مورد استفاده قرار می‌گیرند. آدرس IP كه در فایل پیكربندی به همراه URL قرار دارد، به عنوان آدرس منبع برای حمله استفاده می‌شود.

تست‌های ESET حدود دوازده نسخه از فایل DLL مشاهده كرده‌اند و محتویات فایل پیكربندی نیز اغلب تغییر كرده است. این نشان می‌دهد كه شبكه انكار سرویس توزیع شده كاربران Orbit Downloader به‌طور فعال مدیریت می‌گردد.

ESET از كشف چنین حمله‌ای در چنین برنامه شناخته شده‌ای اظهار تعجب كرده است. این احتمال بعیدی است كه وب‌سایت این شركت توسط یك مهاجم بیرونی مورد سوء استفاده قرار گرفته باشد.
نسخه آسیب‌پذیر این نرم‌افزار (4.1.1.18) همچنان بر روی سایت این شركت وجود دارد و URL های مورد استفاده برای دانلود كد حمله نیز همچنان فعال هستند.