شماره: IRCNE2013081937
تاريخ: 02/06/92
محققان شركت امنيتي ESET در يك برنامه مشهور دانلود تحت ويندوز يعني Orbit Downloader، يك كد حمله انكار سرويس توزيع شده (DDoS) يافتهاند كه از راه دور بهروز رساني ميشود.
به نظر ميرسد كه اين تابع انكار سرويس توزيع شده مدتي است كه در اين برنامه وجود دارد. زماني كه برنامه orbitdm.exe اجرا ميشود، مجموعهاي از ارتباطات را با سرورهايي در orbitdownloader.com برقرار ميكند كه در نتيجه، سيستم كلاينت به آرامي و از طريق HTTP، يك فايل Win32 PE DLL و يك فايل پيكربندي حاوي فهرستي از URL ها و يك آدرس IP تصادفي به ازاي هر URL را دانلود ميكند.
اين برنامه و اين فهرست براي هدايت يك حمله SYN flood يا موجي از درخواستهاي ارتباط HTTP بر روي پورت 80 و موجي از Datagram هاي UDP بر روي پورت 53 مورد استفاده قرار ميگيرند. آدرس IP كه در فايل پيكربندي به همراه URL قرار دارد، به عنوان آدرس منبع براي حمله استفاده ميشود.
تستهاي ESET حدود دوازده نسخه از فايل DLL مشاهده كردهاند و محتويات فايل پيكربندي نيز اغلب تغيير كرده است. اين نشان ميدهد كه شبكه انكار سرويس توزيع شده كاربران Orbit Downloader بهطور فعال مديريت ميگردد.
ESET از كشف چنين حملهاي در چنين برنامه شناخته شدهاي اظهار تعجب كرده است. اين احتمال بعيدي است كه وبسايت اين شركت توسط يك مهاجم بيروني مورد سوء استفاده قرار گرفته باشد.
نسخه آسيبپذير اين نرمافزار (4.1.1.18) همچنان بر روي سايت اين شركت وجود دارد و URL هاي مورد استفاده براي دانلود كد حمله نيز همچنان فعال هستند.
