ایتنا- این دانلود كننده مشهور حاوی یك برنامه DDoS است كه بی سر و صدا توسط وبسرورهای این شركت برای هدایت حملات كنترل میشوند.
يکشنبه ۳ شهريور ۱۳۹۲ ساعت ۱۲:۱۴
كد خرابكار در Orbit Downloader
محققان شركت امنیتی ESET در یك برنامه مشهور دانلود تحت ویندوز یعنی Orbit Downloader، یك كد حمله انكار سرویس توزیع شده (DDoS) یافتهاند كه از راه دور بهروز رسانی میشود.
به گزارش ایتنا از مرکز ماهر، به نظر میرسد كه این تابع انكار سرویس توزیع شده مدتی است كه در این برنامه وجود دارد. زمانی كه برنامه orbitdm.exe اجرا میشود، مجموعهای از ارتباطات را با سرورهایی در orbitdownloader.com برقرار میكند كه در نتیجه، سیستم كلاینت به آرامی و از طریق HTTP، یك فایل Win۳۲ PE DLL و یك فایل پیكربندی حاوی فهرستی از URL ها و یك آدرس IP تصادفی به ازای هر URL را دانلود میكند.
این برنامه و این فهرست برای هدایت یك حمله SYN flood یا موجی از درخواستهای ارتباط HTTP بر روی پورت ۸۰ و موجی از Datagram های UDP بر روی پورت ۵۳ مورد استفاده قرار میگیرند. آدرس IP كه در فایل پیكربندی به همراه URL قرار دارد، به عنوان آدرس منبع برای حمله استفاده میشود.
تستهای ESET حدود دوازده نسخه از فایل DLL مشاهده كردهاند و محتویات فایل پیكربندی نیز اغلب تغییر كرده است. این نشان میدهد كه شبكه انكار سرویس توزیع شده كاربران Orbit Downloader بهطور فعال مدیریت میگردد.
ESET از كشف چنین حملهای در چنین برنامه شناخته شدهای اظهار تعجب كرده است. این احتمال بعیدی است كه وبسایت این شركت توسط یك مهاجم بیرونی مورد سوء استفاده قرار گرفته باشد.
نسخه آسیبپذیر این نرمافزار (۴.۱.۱.۱۸) همچنان بر روی سایت این شركت وجود دارد و URL های مورد استفاده برای دانلود كد حمله نیز همچنان فعال هستند.
کد مطلب: 27273
