DoS-Attacken

Orbit Downloader greift Rechner an

Das beliebte Download-Programm für Videos, Orbit Downloader, scheint auch eine dunkle Seite zu haben. Die aktuelle Version sendet massenhafte TCP-Pakete an Server in Vietnam.

Trojaner-Software offenbar drei Jahre alt

© Archiv

Trojaner-Software offenbar drei Jahre alt

Orbit Downloader ist ein Programm aus der Gruppe der Download-Manager, das vor allem zum Herunterladen solcher Videos dient, die nicht dazu gedacht sind. Orbit klinkt sich in den Browser ein, etwa Firefox, um zum Beispiel Youtube-Videos oder Beiträge in den Mediatheken der ARD und des ZDF herunter zu laden. So manchem Benutzer der seit Mai 2013 aktuellen Version 4.1.1.8 ist wohl schon aufgefallen, dass Orbit eine sehr hohe CPU-Auslastung erzeugt. Dies beginnt mit dem Programmstart und endet erst, wenn Orbit geschlossen wird - auch wenn kein Download stattfindet.

Das Sicherheitsunternehmen Cyberoam hat nun auf der Mailing-Liste Bugtraq eine Warnung veröffentlicht, die ein wenig Licht in die Sache bringt. Demnach sendet Orbit massenhaft TCP-Pakete an bestimmte IP-Adressen in Vietnam. Orbit öffnet mehr als 40 Verbindungen pro Sekunde und hält stets über 1300 Verbindungen offen.

Es handelt sich um so genannte SYN-Pakete (synchronize), die dem Aufbau einer TCP-Verbindung zwischen Client und Server dienen. Sendet ein Client ständig SYN-Pakete, ohne auf die Server-Antwort mit einem ACK (acknowledge) zu reagieren, wird dies als "SYN-Flood" bezeichnet.

Ein Web-Server kann nur eine begrenzte Zahl gleichzeitiger Verbindungen offen halten. Halboffene Verbindungen nach einer SYN-Anfrage verwirft er nach einer gewissen Zeit. Kommen jedoch zu viele solche Anfragen in kurzer Zeit, kann der Server nicht mehr auf legitime Anfragen reagieren. Deshalb zählt das SYN-Flooding zu den DoS-Angriffen (Denial of Service). Greifen viele Rechner einen Server konzertiert an, spricht man von einem DDoS-Angriff (Distributed DoS).

Weitere Einzelheiten, die Cyberoam beobachtet hat, sprechen gegen die Annahme, die durch Orbit ausgelöste SYN-Flut könnte nur ein Versehen sein. Nach drei SYN-Paketen ändert Orbit die in die Pakete eingefügte Quell-IP-Adresse. Diese ist ohnehin ein Dummy, eine zufällige IP-Adresse aus dem öffentlichen Adressraum. Zudem enthalten die Pakete die gefälschte MAC-Adresse "0a:0a:0a:0a:0a:0a". Eine MAC-Adresse dient der Identifikation einer Netzwerkkarte oder eines Netzwerk-Ports und sollte weltweit eindeutig sein.

Die durch Orbit Downloader 4.1.1.8 verursachte SYN-Flut sorgt für eine hohe Belastung aller Geräte, die daran beteiligt sind. Beim PC geht die CPU-Auslastung auf bis zu 100 Prozent, der DSL-Router geht irgendwann in die Knie, weitere Router auf dem Weg der Pakete werden hoch belastet und der Ziel-Server kann schließlich nicht mehr auf normale Anfragen reagieren.

Antivirusprogramme erkennen bislang nichts Verdächtiges an der aktuellen Version des Orbit Downloader, mit zwei Ausnahmen: Eset NOD32 moniert die im Installationspaket enthaltene Adware (OpenCandy), Kaspersky meldet "not-a-virus:NetTool.Win32.GushUnleashed.a". Letzteres ist das einzige Verdikt, das auf ein DoS-Tool hinweist (gush: Schwall, Strahl, Strom; unleashed: von der Leine gelassen).

Im Support-Forum für Orbit Downloader gibt es bereits seit geraumer Zeit Anfragen besorgter Benutzer, die jedoch unbeantwortet bleiben. Es bleibt einstweilen unklar, ob Orbit durch einen Hacker-Einbruch in Server des Herstellers Innoshock manipuliert wurde oder gar absichtlich so programmiert worden ist. Betroffen sind jedenfalls alle Downloads der aktuellen Orbit-Version 4.1.1.8, auch die bei deutschen Download-Portalen (die Dateien sind alle identisch). Wer Orbit Downloader 4.1.1.8 benutzt, sollte die Software entfernen und auf eine ältere Version oder andere Programme ausweichen.

Auch interessant

Für Einsteiger, Umsteiger & Profis

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…