Allgemeine Informationen » Orbit Downloader greift Rechner an

Orbit Downloader greift Rechner an
26.07.2013
Das beliebte Download-Programm für Videos, Orbit Downloader, scheint auch eine dunkle Seite zu haben. Die aktuelle Version sendet massenhafte TCP-Pakete an Server in Vietnam.
Trojaner-Software offenbar drei Jahre alt © Archiv

Orbit Downloader ist ein Programm aus der Gruppe der Download-Manager, das vor allem zum Herunterladen solcher Videos dient, die nicht dazu gedacht sind. Orbit klinkt sich in den Browser ein, etwa Firefox, um zum Beispiel Youtube-Videos oder Beiträge in den Mediatheken der ARD und des ZDF herunter zu laden. So manchem Benutzer der seit Mai 2013 aktuellen Version 4.1.1.8 ist wohl schon aufgefallen, dass Orbit eine sehr hohe CPU-Auslastung erzeugt. Dies beginnt mit dem Programmstart und endet erst, wenn Orbit geschlossen wird - auch wenn kein Download stattfindet.

Das Sicherheitsunternehmen Cyberoam hat nun auf der Mailing-Liste Bugtraq eine Warnung veröffentlicht, die ein wenig Licht in die Sache bringt. Demnach sendet Orbit massenhaft TCP-Pakete an bestimmte IP-Adressen in Vietnam. Orbit öffnet mehr als 40 Verbindungen pro Sekunde und hält stets über 1300 Verbindungen offen.

Es handelt sich um so genannte SYN-Pakete (synchronize), die dem Aufbau einer TCP-Verbindung zwischen Client und Server dienen. Sendet ein Client ständig SYN-Pakete, ohne auf die Server-Antwort mit einem ACK (acknowledge) zu reagieren, wird dies als "SYN-Flood" bezeichnet.

Ein Web-Server kann nur eine begrenzte Zahl gleichzeitiger Verbindungen offen halten. Halboffene Verbindungen nach einer SYN-Anfrage verwirft er nach einer gewissen Zeit. Kommen jedoch zu viele solche Anfragen in kurzer Zeit, kann der Server nicht mehr auf legitime Anfragen reagieren. Deshalb zählt das SYN-Flooding zu den DoS-Angriffen (Denial of Service). Greifen viele Rechner einen Server konzertiert an, spricht man von einem DDoS-Angriff (Distributed DoS).

Tipps & Tricks zu Windows 7
Die 5 besten kostenlosen SSD-Tools
Kostenlose WLAN-Hotspots: Mit unseren Tipps sind Sie unterwegs sicherer im Netz.
Mehr Sicherheit an kostenlosen WLAN-Hotspots
7 Tipps - So retten Sie verlorene Daten

Weitere Einzelheiten, die Cyberoam beobachtet hat, sprechen gegen die Annahme, die durch Orbit ausgelöste SYN-Flut könnte nur ein Versehen sein. Nach drei SYN-Paketen ändert Orbit die in die Pakete eingefügte Quell-IP-Adresse. Diese ist ohnehin ein Dummy, eine zufällige IP-Adresse aus dem öffentlichen Adressraum. Zudem enthalten die Pakete die gefälschte MAC-Adresse "0a:0a:0a:0a:0a:0a". Eine MAC-Adresse dient der Identifikation einer Netzwerkkarte oder eines Netzwerk-Ports und sollte weltweit eindeutig sein.

Die durch Orbit Downloader 4.1.1.8 verursachte SYN-Flut sorgt für eine hohe Belastung aller Geräte, die daran beteiligt sind. Beim PC geht die CPU-Auslastung auf bis zu 100 Prozent, der DSL-Router geht irgendwann in die Knie, weitere Router auf dem Weg der Pakete werden hoch belastet und der Ziel-Server kann schließlich nicht mehr auf normale Anfragen reagieren.

Mehr lesen

Übersicht: Kaufberatungen auf einen Blick
Übersicht: Alle Bestenlisten im Überblick

Antivirusprogramme erkennen bislang nichts Verdächtiges an der aktuellen Version des Orbit Downloader, mit zwei Ausnahmen: Eset NOD32 moniert die im Installationspaket enthaltene Adware (OpenCandy), Kaspersky meldet "not-a-virus:NetTool.Win32.GushUnleashed.a". Letzteres ist das einzige Verdikt, das auf ein DoS-Tool hinweist (gush: Schwall, Strahl, Strom; unleashed: von der Leine gelassen).

Im Support-Forum für Orbit Downloader gibt es bereits seit geraumer Zeit Anfragen besorgter Benutzer, die jedoch unbeantwortet bleiben. Es bleibt einstweilen unklar, ob Orbit durch einen Hacker-Einbruch in Server des Herstellers Innoshock manipuliert wurde oder gar absichtlich so programmiert worden ist. Betroffen sind jedenfalls alle Downloads der aktuellen Orbit-Version 4.1.1.8, auch die bei deutschen Download-Portalen (die Dateien sind alle identisch). Wer Orbit Downloader 4.1.1.8 benutzt, sollte die Software entfernen und auf eine ältere Version oder andere Programme ausweichen.



Quelle des Berichtes: http://www.pc-magazin.de/news/orbit-down...dium=newsletter


Grüße
sunny78