کشف یک کد خرابکار

محققان در یک برنامه مشهور دانلود تحت ویندوز یعنی Orbit Downloader، یک کد حمله انکار سرویس توزیع شده (DDoS) یافته‌اند که از راه دور به‌روزرسانی می‌شود.

این دانلود کننده مشهور حاوی یک برنامه DDoS است که بی صدا توسط وب‌سرورهای این شرکت برای هدایت حملات کنترل می‌شوند.
 
به نظر می‌رسد که این تابع انکار سرویس توزیع شده مدتی است که در این برنامه وجود دارد. زمانی که برنامه orbitdm.exe اجرا می‌شود، مجموعه‌ای از ارتباطات را با سرورهایی در orbitdownloader.com برقرار می‌کند که در نتیجه، سیستم کلاینت به آرامی و از طریق HTTP، یک فایل Win۳۲ PE DLL و یک فایل پیکربندی حاوی فهرستی از URLها و یک آدرس IP تصادفی به ازای هر URL را دانلود می‌کند.
 
این برنامه و این فهرست برای هدایت یک حمله SYN flood یا موجی از درخواست‌های ارتباط HTTP بر روی پورت ۸۰ و موجی از Datagramهای UDP برروی پورت ۵۳ مورد استفاده قرار می‌گیرند. آدرس IP که در فایل پیکربندی به همراه URL قرار دارد، به عنوان آدرس منبع برای حمله استفاده می‌شود.
 
تست‌های ESET حدود ۱۲ نسخه از فایل DLL مشاهده کرده‌اند و محتویات فایل پیکربندی نیز اغلب تغییر کرده است. این نشان می‌دهد که شبکه انکار سرویس توزیع شده کاربران Orbit Downloader به‌طور فعال مدیریت می‌شود.
 
ESET از کشف چنین حمله‌ای در چنین برنامه شناخته شده‌ای اظهار تعجب کرده است. این احتمال بعیدی است که وب‌سایت این شرکت توسط یک مهاجم بیرونی مورد سوء استفاده قرار گرفته باشد.
 
بنا بر اعلام مرکز ماهر، نسخه آسیب‌پذیر این نرم‌افزار (۴.۱.۱.۱۸) همچنان برروی سایت این شرکت وجود دارد و URLهای مورد استفاده برای دانلود کد حمله نیز همچنان فعال هستند.