Менеджер загрузок Orbit Downloader используется для DDoS-атак

    Программа Orbit Downloader (Innoshock) представляет из себя менеджер загрузок (download manager) и используется для ускорения загрузки файлов из интернета, а также содержит возможности по скачиванию видео из популярных сервисов, например, YouTube. Он выпускается, по крайней мере, с 2006 г. и как многие другие программы доступен для использования на бесплатной основе. Разработчик этого менеджера загрузки получает доход от инсталляторов, таких как OpenCandy, который используется для установки ПО сторонних производителей и позволяет отображать рекламные объявления для получения прибыли.



    Подобный вид рекламы представляет из себя уже довольно типичное явление и является одной из причин, по которой аналитики ESET могут причислить подобное ПО к семейству «потенциально нежелательных приложений» (Potentially Unwanted Application, PUA). Подобный процесс классификации программ к PUA является довольно рутинной работой для аналитиков и требует тщательного изучения всех деталей, поскольку причины по которым ПО может быть отнесено к PUA определяются индивидуально.



    Киберпреступники понимают, что многие пользователи могут попасть на удочку фишинга, когда им предлагают возможность скачать файлы с сервисов хостинга видео и используют это в своих целях, поэтому нужно быть осторожным когда вы пытаетесь загрузить программу или расширение для браузера, которое преподносится как менеджер загрузки. В случае с Orbit Downloader, мы обнаружили, что некоторые ее версии содержат вредоносный код для осуществления Denial of Service (DoS) атак. С учетом популярности этой программы (Orbit Downloader указан как одно из наиболее скачиваемых приложений на нескольких популярных веб-сайтах, распространяющих ПО) можно предположить, что с помощью нее могло быть сгенерировано огромное количество сетевого трафика для проведения DDoS-атак. Вредоносные версии Orbit Downloader обнаруживаются ESET как Win32/DDoS.Orbiter.A.

    Вредоносный код был добавлен в исполняемый файл orbitdm.exe между версиями 4.1.1.14 (25 декабря, 2012) и 4.1.1.15 (10 января, 2013). Этот файл представляет из себя главный модуль менеджера загрузки и выполняет следующие действия. Отправляет HTTP GET-запрос на свой сервер hXXp://obupdate.orbitdownloader.com/update/myinfo.php. Далее сервер отвечает двумя URL, которые содержат следующую информацию. Первый URL с именем «url» имеет вид hXXp://obupdate.orbitdownloader.com/update/ido.ipl и указывает на Win32 PE DLL файл, который будет скрытно загружен. Отметим, что нами было обнаружено более десяти версий этого файла. Второй URL с именем «param» выглядит так hXXp://obupdate.orbitdownloader.com/update/rinfo.php?lang=language. Злоумышленники использовали и другой шаблон — hXXp://obupdate.orbitdownloader.com/update/param.php?lang=language.

    Нам удалось получить следующий ответ от сервера:

    [update]
    url=http://www.kkk.com
    exclude=
    param=200

    Честно говоря мы не совсем поняли, почему злоумышленники выбрали веб-сайт с таким именем в качестве URL для ответа. Возможно это был просто тест авторов на предмет работоспособности сервиса. Ниже представлен скриншот сетевого взаимодействия программы с сервером, в процессе которого происходит запрос файла конфигурации и DLL-библиотеки.



    После анализа DLL выяснилось, что она содержит экспортируемую функцию SendHTTP, которая выполняет два действия. Скачивает зашифрованный файл конфигурации hXXp://obupdate.orbitdownloader.com/update/il.php, содержащий список адресов для атаки. Далее осуществляет саму атаку на цели, перечисленные в файле конфигурации. Ниже показан скриншот части файла конфигурации il.php.



    Записи в этом файле представлены в формате URL=IP, например, как показано ниже.

    bbs1.tanglongs.com/2DClient_main.swf=210.245.122.119
    tanglongs.com/static/script/jquery-1.7.1.min.js=118.69.169.103


    Первая часть записи файла, т. е. URL, представляет из себя цель DoS-атаки. Вторая часть является IP-адресом, подставляемым в качестве источника для отправляемого IP-пакета. Сам файл зашифрован с использованием base64 и XOR-алгоритма с использованием 32-символьной строки. Строка представляет собой MD5 от специального пароля, который жестко зашит в DLL-файл.

    Нами было обнаружено два типа атак. Если WinPcap присутствует на скомпрометированной системе, специальным образом сформированные TCP SYN пакеты отправляются на удаленную систему по 80-му порту с указанием произвольного IP-адреса в качестве источника. Такой тип атак известен как SYN flood. Следует подчеркнуть, что WinPcap представляет из себя легитимный инструмент по созданию сетевых пакетов, работе с сетью и никак не связан с злоумышленниками. В случае отсутствия WinPcap, TCP-пакеты отправляются для установки HTTP-соединения на порт 80. При использовании UDP, на удаленной системе используется порт 53.

    Подобные атаки являются довольно эффективными ввиду пропускной способности современных каналов связи. На тестовой системе с Gigabit Ethernet портом в нашей лаборатории было отправлено около 140 тыс. пакетов в секунду. При этом было замечено, что сфальсифицированные IP-адреса источников принадлежат Вьетнаму. Эти блоки IP-адресов были жестко зашиты в DLL-файл, загруженный как ido.ipl.
    ESET NOD32 186,75
    Компания
    Поделиться публикацией
    Комментарии 10
      +11
      Было бы здорово, если бы к каждому «индивидуально исследованному ПО» при обнаружении антивирусом давалась ссылка на подобное исследование. Потому как иначе порой совершенно непонятно, паранойя у авторов, ложное срабатывание или и правда известное и какое-то «не такое».
        +1
        Странный ход, как мне кажется. Только малое число провайдеров позволит отправить пакет с подставным source ip, так что, в общем случае, пакеты долетят до первого роутера и дропнутся.
          0
          Не знаю, как у моего провайдера насчёт отправить, но вот получить — пожалуйста. Стоит перевести карточку в promiscuous mode, как тут же начинают сыпаться всякие левые пакеты, у которых dst ip отличается от моего, а src ip может быть хоть на другой стороне планеты. Если смотреть HTTP пакеты, то видно, что запросы делаются к различным сайтам, при этом, в запросах указываются куки пользователей для тех сайтов, к которым делается запрос.

          Решил проверить, реально ли это запросы пользователей, или просто «шумы интернета», добавил реврайт для всех несуществующих доменов своём веб сервере на страницу с несколькими картинками. В результате почти все пользователи успешно загрузили указанные картинки.
            0
            Ну нифига себе! У вас там хаб стоит, что ли?
              0
              Ближайшая железка к ко мне со стороны провайдера — управляемый коммутатор. Да и я бы ещё понял, если бы ко мне лился трафик от соседей, но ведь льётся совершенно левый трафик, от пользователей других провайдеров, городов и стран, различные оси, браузеры. Ничего общего у этих пользователей обнаружить мне не удалось.
                0
                Ну это очень странно и опасно. DST IP случаем не какого-нибудь CDN? Может, у провайдера случайно не заблокирован BGP и кто-то из вашего дома, например, сделал несколько анонсов в свою сторону?
                  +1
                  Ресурсы всякие разные, IP адреса из различных диапазонов. Много запросов из вконтактика, причём чаще всего запрашивают картинки (аватарки и тд), а иногда страницы и даже хиты счётчиков, установленных во вконтакте. В некоторых случаях доходит до абсурда и судя по логам, у пользователя домен, с которого отдаётся скрипт яндекс.метрики вдруг резолвится на мой IP, и он с различных сайтов обращается ко мне за скриптом метрики. Кто-то обновления винды запрашивает у меня, кто-то вообще localhost. Бред какой то вообщем.
                    –1
                    127.0.0.1 это ты?!
                      0
                      Домен localhost, не IP.
          +1
          Разработчик этого менеджера загрузки получает доход от инсталляторов, таких как OpenCandy, который используется для установки ПО сторонних производителей и позволяет отображать рекламные объявления для получения прибыли. Подобный вид рекламы представляет из себя уже довольно типичное явление и является одной из причин, по которой аналитики ESET могут причислить подобное ПО к семейству «потенциально нежелательных приложений» (Potentially Unwanted Application, PUA).


          Большинство бесплатных приложений использует подобный метод монетизации, utorrent, например. Не уверен используют ли они именно упомянутый вами OpenCandy, но они ставят Яндекс и еще парочку непонятных мне софтов.

          Я не спорю DDoS — это очень плохая тема и за это надо гнать всех в шею :)

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое