کد خرابکار در Orbit Downloader

به گزارش AVnews (پایگاه خبری امنیت اطلاعات و شبکه)، محققان شرکت امنیتی ESET در یک برنامه مشهور دانلود تحت ویندوز یعنی Orbit Downloader، یک کد حمله انکار سرویس توزیع شده (DDoS) یافته‌اند که از راه دور به‌روز رسانی می‌شود.

به نظر می‌رسد که این تابع انکار سرویس توزیع شده مدتی است که در این برنامه وجود دارد. زمانی که برنامه orbitdm.exe اجرا می‌شود، مجموعه‌ای از ارتباطات را با سرورهایی در orbitdownloader.com برقرار می‌کند که در نتیجه، سیستم کلاینت به آرامی و از طریق HTTP، یک فایل Win32 PE DLL و یک فایل پیکربندی حاوی فهرستی از URL ها و یک آدرس IP تصادفی به ازای هر URL را دانلود می‌کند.
این برنامه و این فهرست برای هدایت یک حمله SYN flood یا موجی از درخواست‌های ارتباط HTTP بر روی پورت ۸۰ و موجی ازDatagram های UDP بر روی پورت ۵۳ مورد استفاده قرار می‌گیرند. آدرس IP که در فایل پیکربندی به همراه URL قرار دارد، به عنوان آدرس منبع برای حمله استفاده می‌شود.
تست‌های ESET حدود دوازده نسخه از فایل DLL مشاهده کرده‌اند و محتویات فایل پیکربندی نیز اغلب تغییر کرده است. این نشان می‌دهد که شبکه انکار سرویس توزیع شده کاربران Orbit Downloader به‌طور فعال مدیریت می‌گردد.
ESET از کشف چنین حمله‌ای در چنین برنامه شناخته شده‌ای اظهار تعجب کرده است. این احتمال بعیدی است که وب‌سایت این شرکت توسط یک مهاجم بیرونی مورد سوء استفاده قرار گرفته باشد.
نسخه آسیب‌پذیر این نرم‌افزار (۴٫۱٫۱٫۱۸) همچنان بر روی سایت این شرکت وجود دارد و URL های مورد استفاده برای دانلود کد حمله نیز همچنان فعال هستند.
منبع: مرکز ماهر

About The Author

Related posts

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*