Program, który zamienia komputer w broń cyberprzestępców

Orbit Downloader firmy Innoshock jest asystentem pobierania plików, który integruje się z przeglądarką internetową. Program przyspiesza pobieranie plików z sieci oraz umożliwia zapisywania na dysku komputera strumieniowanych treści multimedialnych, np. filmów z serwisu YouTube. O popularności narzędzia świadczą dziesiątki milionów pobrań z popularnych serwisów internetowych, udostępniających programy w wersjach instalacyjnych, np. C|Net Download.com czy BrotherSoft. Mimo że aplikacja jest darmowa, producent, firma Innoshock, zarabia na niej dzięki umowom z firmami trzecimi. Zyski czerpane są m.in. ze sprzedaży reklam, jakie wyświetlane są podczas instalacji i działania programu.

Firma Eset zawsze bardzo dokładnie analizuje tego typu programy, sprawdzając czy nie są to tzw. potencjalnie niebezpieczne aplikacje. Takie aplikacje nie są co prawda wirusami, ale mogą działać w sposób, którego nie życzy sobie użytkownik, m.in. wyświetlać denerwujące reklamy (tzw. adware) czy instalować niepotrzebne paski narzędzi w przeglądarkach (tzw. toolbary). W wypadku Orbit Downloadera firma Eset zaklasyfikowała program właśnie do grupy potencjalnie niebezpiecznych aplikacji. Ostatnia analiza programu Orbit Downloader, wykonana przez ekspertów pozwoliła odkryć coś jeszcze. Pomiędzy wersją 4.1.1.14  a 4.1.1.15 dodano złośliwy komponent, który programy Eset Smart Security i Eset NOD32 Antivirus klasyfikują jako Win32/DDoS.Orbiter.A. Ten dodatek sprawia, że komputer z Orbit Downloaderem zaczyna niezauważanie dla użytkownika, realizować rozkaz ataku na konkretny serwer dostępny w internecie. Tego typu ataki eksperci nazywają Denial of Service (DoS).

Jak przebiega sam atak? Komputer z Orbit Downloaderem "zaczepia" wytypowany przez cyberprzestępców serwer, np. taki, dzięki któremu w sieci dostępna jest witryna internetowa banku. Maszyna z zainstalowanym programem pozornie próbuje nawiązać połączenie z serwerem, przedstawiając się przy tym fałszywym adresem IP, a więc adresem jaki posiada w sieci każde urządzenie - komputer, smartfon czy tablet. Próba weryfikacji adresu IP przez serwer kończy się brakiem reakcji ze strony komputera inicjującego kontakt - w końcu prawdziwy adres IP tej maszyny jest inny od tego, który został podany podczas próby połączenia z serwerem. Większa liczba tego typu zapytań, kierowanych do danego serwera przez grupę komputerów z zainstalowanym Orbit Downloaderem, sprawia, że wskazany przez cyberprzestępców serwer w końcu ulega przeciążeniu i przestaje działać. Taki zmasowany atak nazywany jest atakiem Distributed Denial of Service (DDoS) i w jego efekcie konkretna strona internetowa np. strona banku, może przestać działać.

Kamil Sadkowski, analityk zagrożeń z laboratorium antywirusowego Eset zwraca uwagę, że pojedynczy komputer z zainstalowaną złośliwą wersją Orbit Downloadera bez przerwy komunikuje sie z siecią, generując przy tym ogromny ruch. To jedyna cecha charakterystyczna, dzięki której użytkownik może zorientować się, że z jego komputerem dzieje się coś niedobrego. Ta nadzwyczaj wysoka aktywność maszyny z Orbit Downloaderem to rezultat wykonywania ataku DoS na serwer, który cyberprzestępca określił w instrukcji, przesłanej wcześniej do komputera.

Specjaliści rekomendują wszystkim użytkownikom programu Orbit Downloader usunięcie go ze swoich komputerów i skorzystanie z alternatywnych aplikacji - przynajmniej do czasu wyjaśnienia całej sytuacji przez producenta narzędzia, firmę Innoshock. Programy antywirusowe firmy Eset blokują już samo pobieranie Orbit Downloadera, identyfikując program jako potencjalnie niebezpieczna aplikacja. Warto też zauważyć, że niektóre z serwisów udostępniających wersję instalacyjną Orbit Downloadera usunęły go ze swoich serwerów.