Orbit Downloader امن یا مخرب !

Orbit Downloader یکی از برنامه های پرطرفدار و رایگان برای دانلود فایل ها ویدیویی از اینترنت  است. برنامه Orbit درسال ۲۰۰۶ عرضه شده و  در سالیان اخیر به خاطر قابلیت های کاربر پسند مورد توجه قرار گرفته است.

اخیرا کارشناسان و محققان امنیتی شرکت ESET با بررسی دقیق برنامه Orbit در لابراتورهای این شرکت به نتایج قابل تآملی درباره برنامه Downloader Orbit رسیده اند. طبق بررسی ها و مطالعات بر روی مکانیزم Orbit کارشناسان امنیتیESET دریافتند که داخل این نرم افزار یک سری کد مخرب وجود دارد که می تواند به راحتی سیستم قربانی را مورد هدف قرارا دهد و سرویس های آن را از کار بیاندازد و حتی از طریق یک قربانی سایر سیستم ها را آلوده کند . این کد مخرب در واقع حملات DDOS را طراحی می کند که می تواند سرویس های شبکه را دچار اختلال کند و حتی در پاره ای از اوقات حجم این حملات به بیشتر از چند گیگابیت می رسد که حجم بالایی از ترافیک را به شبکه می افزاید.

اسم کد ماژول حاوی کدهای مخرب برنامه Orbit Downloader، Win32/DDoS.Orbiter.A  می باشد که در واقع حملات DDOS را پیاده سازی می کند.

مکانیزم Orbit :

Orbit برای نصب از یک فایل با نام Orbit.exe استفاده می کند که ماژول اصلی اجرایی برنامه است اما زمانی که فایل اجرا می شود شما از طریق یک اتصال HTTP به سرور Orbit وصل می شوید و یک فایل بروز رسانی دریافت میکنید. سرور با دوURL که حاوی اطلاعات بیشتر می باشد جواب می دهد اولین URLبه نام  hXXp://obupdate.orbitdownloader.com/update/ido.ipl که اشاره دارد به فایل  WIN32 PE DLL که برای دانلود برنامه ها می باشد.

دومین URL به نام hXXp://obupdate.orbitdownloader.com/update/rinfo.php?lang=language می باشد که چند روز پیش به نام hXXp://obupdate.orbitdownloader.com/update/param.php?lang=language تغییر پیدا کرد و  به این دلیل آن را Param نامیدندکه اطلاعات دریافتی از قربانی را بر اساس پارامتر زبان از طریق پروتکل HTTP به سرور می فرستد.

زمانی که سرور اطلاعات را دریافت کرد کد مخرب را از طریق سرور خود به سیستم قربانی انتقال می دهد کد مخرب بر روی سیستم قربانی نصب می شود و  سیسستم های شبکه را مورد هدف حمله DDoS قرار می دهد.

ESET از کشف چنین حمله‌ای در  برنامه Orbit Downloader اظهار تعجب کرده است. این احتمال بعیدی است که وب‌سایت این شرکت توسط یک مهاجم بیرونی مورد سوء استفاده قرار گرفته باشد.

نسخه آسیب‌پذیر این نرم‌افزار (نسخه ۴٫۱٫۱٫۱۸) همچنان بر روی سایت این شرکت وجود دارد و URL های مورد استفاده برای دانلود کد حمله نیز همچنان فعال هستند.

 

orbit-code

 

اما کارشناسان امنیت شبکه ESET برای جلوگیری از این حملات به کاربران چند توصیه کردند که عبارتند از:

  • جلوگیری از دریافت و اجرای برنامه Orbit بر روی ایستگاه های کاری و سرورها توسط  ماژول Application Startup Control در Endpoint Security شرکت کسپرسکی
  • جلوگیری از دریافت و اجرای برنامه Orbit بر روی ایستگاه های کاری و سرورها توسط  ماژول HIP آنتی ویروس و Endpoint Security شرکت ESET

جهت دریافت اطلاعات بیشتر در این زمینه با کارشناسان فنی شرکت تماس حاصل فرمایید.