Mauro Vecchio

Orbit Downloader nasconde una botnet DDoS?

I ricercato di ESET scovano una misteriosa DLL che pare consenta di sfruttare l'ignaro PC per altri scopi. Mistero sull'origine del payload, ma il software finisce nella lista nera

Roma - Rilasciato per la prima volta nel 2006, il freeware Orbit Downloader permette agli utenti connessi di gestire in maniera veloce e flessibile le attività di scaricamento dei file da Internet. Un gruppo di esperti della società d'analisi ESET ha però scoperto che il pacchetto software contiene uno specifico componente capace di assistere da remoto gli attacchi di tipo Denial-of-Service (DDoS).

A partire dalla versione 4.1.1.15, il file eseguibile di Orbit Downloader avvia le comunicazioni con il sito satellite orbitdownloader.com, iniziando il download di un componente DLL per la raccolta dei dati di configurazione. Dall'analisi effettuata dai ricercatori di ESET, questo stesso file DLL include una funzione chiamata SendHTTP che procede con lo scaricamento di una lista di obiettivi di attacchi DDoS.

In questo modo il computer su cui viene installato il software diventa in automatico parte di una rete (botnet) per la distribuzione di offensive informatiche in Rete. I creatori del file DLL hanno pensato ad una cifratura tramite password per rendere invisibile lo stesso componente ad eventuali analisi del traffico sui network.
Nessuna spiegazione da parte di Innoshock, società di sviluppo del gestionale Orbit Downloader. L'ultimo intervento sul blog ufficiale dell'azienda risale al 2012, mentre il forum legato al pacchetto software sembra essere stato abbandonato agli spammer. Gli esperti di ESET hanno consigliato vivamente la disinstallazione del download manager sospetto.

Mauro Vecchio
Notizie collegate
  • SicurezzaCina sommersa da un DDoS nel weekendIl traffico Internet asiatico crolla del 32 per cento dopo un violento attacco informatico al registry che gestisce i domini .cn. Cadono la filiale locale di Amazon e il social network Weibo
  • Digital LifeDDoS, per business e per attivismoPossono essere un affare, pių o meno lecito. O possono essere la disobbedienza civile del terzo millennio. Bloccare un sito non č pių soltanto un atto di vandalismo, pare
45 Commenti alla Notizia Orbit Downloader nasconde una botnet DDoS?
Ordina
  • cose che capitano quando ci si ostina a "suggerire" l'uso di software proprietari...

    proprio come fa (quasi) sistematicamente PI Download...

    PI Download del 03/07/2007:
    Orbit Downloader
    Download manager evoluto e capace di acchiappare contenuti multimediali da molti servizi on line, MySpace, YouTube, Google Video e RapidShare inclusi
    http://punto-informatico.it/s_2030986/Download/New...

    serve commentare oltre?
    non+autenticato
  • - Scritto da: king volution
    > cose che capitano quando ci si ostina a
    > "suggerire" l'uso di software
    > proprietari...
    >
    > proprio come fa (quasi) sistematicamente PI
    > Download...
    >
    > PI Download del 03/07/2007:
    > Orbit Downloader
    > Download manager evoluto e capace di acchiappare
    > contenuti multimediali da molti servizi on line,
    > MySpace, YouTube, Google Video e RapidShare
    > inclusi
    > http://punto-informatico.it/s_2030986/Download/New
    >
    > serve commentare oltre?
    Bé, per completezza si può dire che la recensione di PI è del 2007, mentre la componente infame sembra essere stata inserita fra fine 2012 ed inizio 2013 (http://www.welivesecurity.com/2013/08/21/orbital-d.../)...
    non+autenticato
  • E sia di lezione a chi scarica software inutile!
    non+autenticato
  • Adesso i download manager sono inutile ?
  • - Scritto da: prugnoso
    > downthemall? ?o?

    Sì, Downthemall è un'ottima soluzione ma non gestisce collegamenti in cui sia obbligatoria l'autenticazione username/password - come nei siti dei cyberlockers: per tutte le altre situazioni è indubbiamente la scelta migliore, fermo restando che stiamo parlando di un'estensione (quindi integrata nel browser con tutti i relativi limiti di analisi della sicurezza che questo comporta...).
  • La cosa non mi sorprende...già la prima (ed ultima volta) che testai Orbit si potevano rilevare chiari segnali che si trattasse di uno spyware (o peggio) sia per certi file installati e voci di registro manipolate ma soprattutto per i log del firewall con tentativi di connessone da IP multipli anche se non si scaricava un bel niente: nella migliore delle ipotesi una situazione sospetta. Non che altri prodotti pur blasonati siano meno a rischio adware/spyware: mi riferisco in particolare a mipony ma anche alla nuova versione jdownloader (quella web-installer) che, come se non bastasse, utilizza anche Java.
  • - Scritto da: vrioexo
    > La cosa non mi sorprende...già la prima (ed
    > ultima volta) che testai Orbit si potevano
    > rilevare chiari segnali che si trattasse di uno
    > spyware (o peggio) sia per certi file installati
    > e voci di registro manipolate ma soprattutto per
    > i log del firewall con tentativi di connessone da
    > IP multipli anche se non si scaricava un bel
    > niente: nella migliore delle ipotesi una
    > situazione sospetta. Non che altri prodotti pur
    > blasonati siano meno a rischio adware/spyware: mi
    > riferisco in particolare a mipony ma anche alla
    > nuova versione jdownloader (quella web-installer)
    > che, come se non bastasse, utilizza anche
    > Java.
    E quindi?
    Il fatto che utilizzi java lo rende meno valido?
    non+autenticato
  • - Scritto da: prugnoso
    > E quindi?
    > Il fatto che utilizzi java lo rende meno valido?


    Lo rende meno sicuro.

    Se a questo aggiungiamo che da qualche anno a questa parte (purtroppo) jdownloader sembra diventato una spara-adware-spyware grazie al web-installer...

    Il problema si presenta anche su di una versione ''pulita'' quando si esegue l'aggiornamento del software online. Ecco un esempio:

    http://board.jdownloader.org/showthread.php?t=3158...

    Però dalle analisi che ho eseguito in più occasioni (visto che il software ogni tanto lo uso) ho avuto l'impressione che gli spyware installati cambino con una certa frequenza.

    Personalmente ho risolto eseguendo il web-installer sulla vecchia versione portable pulita e poi levando (anche manualmente) i gentili ''omaggi'' che erano stati piazzati e bloccando l'IP dell'aggiornamento software subito dopo.

    Invece, nella vecchia versione ufficiale portable questo problema non si presenta (ma solo se blocchi preventivamente l'IP dell'aggiornamento software; mentre invece l'IP di aggiornamento dei plug-in deve essere abilitato per ovvie ragioni).
  • - Scritto da: vrioexo
    > - Scritto da: prugnoso
    > > E quindi?
    > > Il fatto che utilizzi java lo rende meno valido?
    >
    >
    > Lo rende meno sicuro.
    >
    > Se a questo aggiungiamo che da qualche anno a
    > questa parte (purtroppo) jdownloader sembra
    > diventato una spara-adware-spyware grazie al
    > web-installer...
    >
    > Il problema si presenta anche su di una versione
    > ''pulita'' quando si esegue l'aggiornamento del
    > software online. Ecco un
    > esempio:
    >
    > http://board.jdownloader.org/showthread.php?t=3158
    >
    > Però dalle analisi che ho eseguito in più
    > occasioni (visto che il software ogni tanto lo
    > uso) ho avuto l'impressione che gli spyware
    > installati cambino con una certa
    > frequenza.
    >
    > Personalmente ho risolto eseguendo il
    > web-installer sulla vecchia versione portable
    > pulita e poi levando (anche manualmente) i
    > gentili ''omaggi'' che erano stati piazzati e
    > bloccando l'IP dell'aggiornamento software subito
    > dopo.
    >
    > Invece, nella vecchia versione ufficiale portable
    > questo problema non si presenta (ma solo se
    > blocchi preventivamente l'IP dell'aggiornamento
    > software; mentre invece l'IP di aggiornamento dei
    > plug-in deve essere abilitato per ovvie
    > ragioni).

    Lo uso anche io ma su una macchina linux. Non ho mai fatto caso alla presenza di demoni di quel tipo, anche perché ho sempre scelto l'installatore offline. Ora farò una prova per capire se si avvia anche qui qualche processo strano.
    Quanto a java, il discorso sulla sicurezza forse va inserito in una considerazione sulla jvm più che al linguaggio, almeno imho
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: vrioexo
    > > - Scritto da: prugnoso
    > > > E quindi?
    > > > Il fatto che utilizzi java lo rende
    > meno
    > valido?
    > >
    > >
    > > Lo rende meno sicuro.
    >
    > Java è pericoloso se gira nel contesto del
    > browser perché il codice arriva dal sito internet
    > in cui
    > navighi.
    >
    > Nei programmi per desktop (e jdownloader lo è) il
    > codice arriva dal produttore esattamente come
    > succede per i tradizionali
    > eseguibili.
    > Non c'è alcun pericolo aggiunto.
    > I programmi aggiuntivi che citi potrebbero essere
    > pericolosi, ma non dipendono certo da Java iun
    > sè.

    Il discorso sicurezza dipende anche da come Java viene implementato ed utilizzato dal software che ne richiede giocoforza l'uso. Nel caso di Jdownloader ho recuperato proprio adesso una mia vecchia analisi di sicurezza eseguita sotto Windows (report che spero sia comprensibile!).

    RIASSUNTO:
    Aggiornamento SW Jdownloader -> javaw.exe -> JwebCake (spyware)


    NEL DETTAGLIO:

    WebCake 3.xx - WebCake LLC (adware-spyware)

    Exe & BHO path:
    C:\Documents and Settings\(...)\WebCake

    WebCakeDesktop.exe
    WebCakeDesktop.Updater.exe

    C:\Program\WebCake\WebCakeIEClient.dll

    Process: c:\documents and settings\all users\(...)\tarma installer\{...}\setup.exe
    Target: C:\Program\WebCake\WebCakeIEClient.dll

    Process: c:\documents and settings\all users\(...)\tarma installer\{...}\setup.exe
    Target: c:\documents and settings\(...)\temp\_tindel.exe
    Cmd line: "C:\DOCUME~1\(...)\Temp\_TinDel.exe"

    IP infezione tracciata con il mio HIPS-Firewall (in realtà di IP ce ne sono diversi)
    Access network: Denied
    Process: [...] java\jre7\bin\javaw.exe
    Target: TCP Local host : 2696] -> [212.117.xxx.xxx : 80 (http)


    ANALISI REALTIME del sito collegato al malware (WebCake LLC site)

    Scamvoid
    URL sito omesso per motivi di sicurezza

    RISULTATO ANALISI:
    The website has a bad online reputation

    Sitecheck Sucuri
    URL sito omesso per motivi di sicurezza

    RISULTATO ANALISI:
    Site with warnings!
    Hidden Iframes detected

    PS
    All'epoca dell'analisi nessun SW antivirus rilevava la minaccia. Un utente normale non può difendersi da queste cose...anzi non sa neppure di averle sul PC...
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione

    > Ripeto, non c'entra nulla con Java: poteva
    > installarti un virus che ti pialla la macchina,
    > così come potrebbe farlo il setup di firefox (se
    > volesse e se fossero molto
    > folli).

    Forse c'è stato un fraintendimento XD. Non sto affermando che Java in quanto tale sia il diretto responsabile di questa od altre situazioni. Dico solo che, essendo gli eseguibili di Java considerati in linea di massima file/processi ''trusted'' sia dal sistema operativo che dai software di sicurezza (ma soprattutto dall'utente) può succedere, come in questo specifico caso, che javaw.exe possa venire utilizzato in maniera impropria e totalmente silente per scaricare un adware (o peggio): di certo ''paperino.exe'' verrebbe bloccato immediatamente dal FW se si verificasse un tentativo di connessione su internet/intranet, javaw.exe, così come normalmente viene impostato a livello di sicurezza, magari no. Il problema qui non è correlato alle vulnerabilità Java (che pur ci sono) ma alle impostazioni ed ai permessi che spesso vengo concessi alla piattaforma - per dirla con un eufemismo - in maniera ''approssimativa''. Nel mio caso l'infezione ha avuto esito negativo, perché? Semplice: le connessioni su IP esterno di javaw.exe sono tutte monitorate e settate manualmente una ad una: a javaw.exe è consentito solo il TPC su singolo IP, singola porta e solo in outbound...e tutto questo man mano che ve ne è richiesta, mentre ogni tentativo (non precedentemente autorizzato) di scrittura nella cartelle temp o di sistema, viene bloccato in attesa di convalida manuale. L'utente tipo non solo non prende queste basilari precauzioni ma configura male le opzioni di sicurezza dal pannello Java e concede sempre a tutto il pacchetto i massimi permessi (anche sul versante internet)...e poi arriva, a questo punto, com'è naturale aspettarsi, un ''buontempone'' con una fantastica idea: ''Perché non utilizziamo Java a mò di cavallo di Troia, visto che molto probabilmente - al contrario magari del nostro nuovo malware - sulla macchina su cui sta girando, Java ha i massimi privilegi?'' non so se mi sono spiegato...
  • - Scritto da: vrioexo
    > - Scritto da: unaDuraLezione
    >
    > > Ripeto, non c'entra nulla con Java: poteva
    > > installarti un virus che ti pialla la macchina,
    > > così come potrebbe farlo il setup di firefox (se
    > > volesse e se fossero molto
    > > folli).
    >
    > Forse c'è stato un fraintendimento XD. Non sto
    > affermando che Java in quanto tale sia il diretto
    > responsabile di questa od altre situazioni. Dico
    > solo che, essendo gli eseguibili di Java
    > considerati in linea di massima file/processi
    > ''trusted'' sia dal sistema operativo che dai
    > software di sicurezza (ma soprattutto
    > dall'utente) può succedere, come in questo
    > specifico caso, che javaw.exe possa venire
    > utilizzato in maniera impropria e totalmente
    > silente per scaricare un adware (o peggio): di
    > certo ''paperino.exe'' verrebbe bloccato
    > immediatamente dal FW se si verificasse un
    > tentativo di connessione su internet/intranet,
    > javaw.exe, così come normalmente viene impostato
    > a livello di sicurezza, magari no. Il problema
    > qui non è correlato alle vulnerabilità Java (che
    > pur ci sono) ma alle impostazioni ed ai permessi
    > che spesso vengo concessi alla piattaforma - per
    > dirla con un eufemismo - in maniera
    > ''approssimativa''. Nel mio caso l'infezione ha
    > avuto esito negativo, perché? Semplice: le
    > connessioni su IP esterno di javaw.exe sono tutte
    > monitorate e settate manualmente una ad una: a
    > javaw.exe è consentito solo il TPC su singolo IP,
    > singola porta e solo in outbound...e tutto questo
    > man mano che ve ne è richiesta, mentre ogni
    > tentativo (non precedentemente autorizzato) di
    > scrittura nella cartelle temp o di sistema, viene
    > bloccato in attesa di convalida manuale. L'utente
    > tipo non solo non prende queste basilari
    > precauzioni ma configura male le opzioni di
    > sicurezza dal pannello Java e concede sempre a
    > tutto il pacchetto i massimi permessi (anche sul
    > versante internet)...e poi arriva, a questo
    > punto, com'è naturale aspettarsi, un
    > ''buontempone'' con una fantastica idea: ''Perché
    > non utilizziamo Java a mò di cavallo di Troia,
    > visto che molto probabilmente - al contrario
    > magari del nostro nuovo malware - sulla macchina
    > su cui sta girando, Java ha i massimi
    > privilegi?'' non so se mi sono
    > spiegato...

    Perfettamente.
    PEBKAC, non problema Java (o Python, o Ruby, o whattefuckishlanguageoftheday......)

    E in questi casi la soluzione e' solo una:

    while(!utontoRinsavito){
        LART();
    }
    non+autenticato
  • - Scritto da: Trollollero
    > Perfettamente.
    > PEBKAC, non problema Java
    Questo problema si nota proprio quando il tizio tra scrivania e sedia decide di installare Java
    non+autenticato
  • - Scritto da: oronzo
    > - Scritto da: Trollollero
    > > Perfettamente.
    > > PEBKAC, non problema Java
    > Questo problema si nota proprio quando il tizio
    > tra scrivania e sedia decide di installare
    > Java
    Il premio della cazzata del secolo l'ho gia' assegnato, ma questa si piazza a buon diritto al secondo posto.....
    non+autenticato
  • sono alcuni anni che uso la versione 2.8.13 e mi trovo benissimo per sfruttare al meglio la banda disponibile. Ottimo software
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)