Ten program zamienia komputer w broń cyberprzestępców

Następny artykuł
2013-08-23

Eksperci z firmy antywirusowej ESET wykryli w popularnym menedżerze pobierania plików Orbit Downloader nietypową zawartość - kod, który zamienia komputer użytkownika w zdalnie sterowaną broń, do której kontroler posiada cyberprzestępca. Za pośrednictwem wielu takich komputerów możliwe jest przeprowadzenie ataku, który może spowodować unieruchomienie np. strony jednego z banków. Wszystko to bez wiedzy i zgody użytkowników programu Orbit Downloader.

Orbit Downloader firmy Innoshock jest asystentem pobierania plików, który integruje się z przeglądarką internetową. Program przyspiesza pobieranie plików z sieci oraz umożliwia zapisywania na dysku komputera strumieniowanych treści multimedialnych, np. filmów z serwisu YouTube. O popularności narzędzia świadczą dziesiątki milionów pobrań z popularnych serwisów internetowych, udostępniających programy w wersjach instalacyjnych, np. C|Net Download.com czy BrotherSoft. Mimo że aplikacja jest darmowa, producent, firma Innoshock, zarabia na niej dzięki umowom z firmami trzecimi. Zyski czerpane są m.in. ze sprzedaży reklam, jakie wyświetlane są podczas instalacji i działania programu.

Firma ESET zawsze bardzo dokładnie analizuje tego typu programy, sprawdzając czy nie są to tzw. potencjalnie niebezpieczne aplikacje. Takie aplikacje nie są co prawda wirusami, ale mogą działać w sposób, którego nie życzy sobie użytkownik, m.in. wyświetlać denerwujące reklamy (tzw. adware) czy instalować niepotrzebne paski narzędzi w przeglądarkach (tzw. toolbary). W wypadku Orbit Downloadera firma ESET zaklasyfikowała program właśnie do grupy potencjalnie niebezpiecznych aplikacji.

Ostatnia analiza programu Orbit Downloader, wykonana przez ekspertów z laboratorium antywirusowego firmy ESET, pozwoliła odkryć coś jeszcze. Pomiędzy wersją 4.1.1.14 a 4.1.1.15 dodano złośliwy komponent, który ESET Smart Security i ESET NOD32 Antivirus klasyfikują jako Win32/DDoS.Orbiter.A. Ten dodatek sprawia, że komputer z Orbit Downloaderem zaczyna niezauważanie dla użytkownika, realizować rozkaz ataku na konkretny serwer dostępny w Internecie. Tego typu ataki eksperci nazywają Denial of Service (DoS).

Jak przebiega sam atak? Komputer z Orbit Downloaderem "zaczepia" wytypowany przez cyberprzestępców serwer, np. taki, dzięki któremu w sieci dostępna jest witryna internetowa banku. Maszyna z zainstalowanym programem pozornie próbuje nawiązać połączenie z serwerem, przedstawiając się przy tym fałszywym adresem IP, a więc adresem jaki posiada w sieci każde urządzenie - komputer, smartfon czy tablet. Próba weryfikacji adresu IP przez serwer kończy się brakiem reakcji ze strony komputera inicjującego kontakt - w końcu prawdziwy adres IP tej maszyny jest inny od tego, który został podany podczas próby połączenia z serwerem. Większa liczba tego typu zapytań, kierowanych do danego serwera przez grupę komputerów z zainstalowanym Orbit Downloaderem, sprawia, że wskazany przez cyberprzestępców serwer w końcu ulega przeciążeniu i przestaje działać. Taki zmasowany atak nazywany jest atakiem Distributed Denial of Service (DDoS) i w jego efekcie konkretna strona internetowa np. strona banku, może przestać działać.

Kamil Sadkowski, analityk zagrożeń z laboratorium antywirusowego ESET zwraca uwagę, że pojedynczy komputer z zainstalowaną złośliwą wersją Orbit Downloadera bez przerwy komunikuje sie z siecią, generując przy tym ogromny ruch. To jedyna cecha charakterystyczna, dzięki której użytkownik może zorientować się, że z jego komputerem dzieje się coś niedobrego. Ta nadzwyczaj wysoka aktywność maszyny z Orbit Downloaderem to rezultat wykonywania ataku DoS na serwer, który cyberprzestępca określił w instrukcji, przesłanej wcześniej do komputera.

Firma ESET rekomenduje wszystkim użytkownikom programu Orbit Downloader usunięcie rozwiązania ze swoich komputerów i skorzystanie z alternatywnych aplikacji - przynajmniej do czasu wyjaśnienia całej sytuacji przez producenta narzędzia, firmę Innoshock. Programy antywirusowe firmy ESET blokują już samo pobieranie Orbit Downloadera, identyfikując program jako potencjalnie niebezpieczna aplikacja.Warto zauważyć, że niektóre z serwisów udostępniających wersję instalacyjną Orbit Downloadera usunęły go ze swoich serwerów - zrobiły tak między innymi MajorGeeks oraz dobreprogramy.pl