パスワードを忘れた? アカウント作成
9901592 story
セキュリティ

人気ダウンロードツール「Orbit Downloader」にDDoS攻撃用のコンポーネントが含まれていたことが判明 30

ストーリー by hylom
経緯が謎過ぎる 部門より

人気ダウンロードツール「Orbit Downloader」に、外部からの遠隔操作によってDDoS攻撃を行うコンポーネントが含まれていたことが判明した(Security Next)。開発元のInnoshockからの発表などはなく、故意に含めたのか、それとも外部からの攻撃などによって混入したのかは不明。

セキュリティ企業ESETが解析して発見したもので、同社はOrbit Downloaderとトロイの木馬として認定、一部ダウンロードサイトなどではこれを受けて公開を停止している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年08月30日 17時25分 (#2451142)

    高速ルータ/スイッチが処理落ちした原因を探った結果、発信元がOrbitDownloaderとの結果がでまして、
    送信元IPアドレスを偽り、外部に対して膨大な量のアクセスを試みる悪意のある動作を行うという社内調査結果だったのでほぼ同じ内容ですね

    ってのが2ヶ月前の話で社内で利用禁止になってます^^;

    • by Anonymous Coward

      やっぱり何か仕込まれてたんですね。
      ある日突然我が家の家庭内ネットワークが激重になり、Orbitが鬼のような上りアクセスをしているとわかったので速攻アンインストールしてました。

      • by Anonymous Coward

        ユーザ数は多いだろうからユーザの帯域を使い潰さずとも十分成果が出ただろうに…
        DDoSなのに分散攻撃元がDoSされちゃダメだろ。

        実際に、それもユーザ側で障害が起きるレベルで使用されてからバックドアが発覚したって事は、
        バレないよう攻撃に使う帯域幅を絞っててバレてない奴もいるんじゃないか?

        #この手のダウンローダは妙に怪しげで入れるのを躊躇ってパスすることも多かったんだが、ホントにヤバかったとは…

    • by Anonymous Coward

      まぁ、落とすためのツールですから・・・

      • by Anonymous Coward

        ああ成程、Downって相手をDownさせるって意味なのか。
        ……loadはどこ行った。

  • 度胸がなかった (スコア:4, 参考になる)

    by nankichi (16747) on 2013年08月30日 22時19分 (#2451311)

    IE7Proのところかー。
    入れようかどうか迷ってドメインをwhoisしたらChinaだったからやめた記憶が。

    中国とロシアのソフトはちょっと怖くて入れられんなあ・・・。

    • by Anonymous Coward

      中国とロシアのソフトはちょっと怖くて入れられんなあ・・・。

      この発想はなかった!
      これからは whois することにします。

      # スコアを増やしたいけどモデ権なんて持ってない

  • OS再インストールしてから、安定性向上のためw色々入れなくなりました

    最近勝手に色々と他のソフトをインストールするものとか
    なんだか行儀の悪いものが増えたような気がします

    ---
    こっそりインストールして痕跡残さない奴なんてウィルスと何の違いが?

    • 最近はOSが安定してしまって、再インストールすることがなくなってしまいました。
      昔は再インストールで変なソフトは淘汰されていったんですが
      今は何かが入り込むとずっと残ってしまいますね。
      親コメント
    • by Anonymous Coward

      そもそも、ダウンロードツールって何に使うもの?昔は、分散ダウンロードとかが流行ってたけど、、こういうのってブロードバンドの普及で絶滅したんじゃないの?

      • by Anonymous Coward

        高負荷状態で接続タイムアウトが頻発するサーバからでかいファイルを落としてくるのに、リトライ・レジューム機能のついたダウンローダは重宝だろjk。

        俺の場合はGNU wgetだけどな。

  • /tmp/orbit-`user`
    みたいなディレクトリがあったはず!

    ググったらGnomeの分散コンピューティング用ソフトウェアでした…
    全然関係なかった
  • by hahahash (41409) on 2013年08月31日 15時38分 (#2451632) 日記

    無害で有用なフリー(無料)ソフトとして公開し、
    十分に人気が出て広まったところでマルウェアにアップデート。

    という作戦に対する有効な対策はあるのだろうか。

    もちろん『最初から信頼出来るソフトしか使わない』のがいいとは思うけれど、
    そうでないソフトを使いたい場合は少なくない。

    Webで情報をチェックしても、インストール時点ではマルウェアじゃないし、
    今回みたいなソフトなら、ファイアウォールにも通信許可設定しちゃうだろうし、
    普段使ってるソフトの変更をファイアウォールが通知してきても、OK出しちゃいそう。

    マルウェア活動が地味で、破壊的でないなものであれば、
    気づくことすらできないんじゃなかろうか……

  • by Anonymous Coward on 2013年08月30日 21時17分 (#2451284)

    普通にアンインストールするだけでいいのかな…
    いかにもゴミを残していきそうなんだけど

    • by Anonymous Coward

       そうですね、あなたの御懸念はもっともです。こちらの魔除けの御札と幸運を呼ぶ壺はいかがですか?

      • by Anonymous Coward
        いやいや、今時は

        『パソコンが遅いですか?
        今すぐ Download』

        # ってなスパム広告撲滅してほしい。
        • 以前クリーナーソフト・アンチウイルスソフトと称したウイルスが本当にありましたからね(PC Defenderなど)。
          この手のものは今だとスマートフォンで絶賛公開中かな。どう考えてもこの権限必要ないでしょ、というアプリの多いこと……。

          --
          自由の行使には責任を伴わなければならない
          親コメント
  • by Anonymous Coward on 2013年08月31日 7時32分 (#2451459)

    続報としてこれぐらいの情報が欲しいな。

    ・どのバージョンに入っているのか?
    ・どんなファイルが入っていればDDoS攻撃をするコンポーネントが入れられていることになるのか?
    ・削除方法はアンインストールするだけで十分なのか?

    • 本件の技術的なことについては、発見者であるセキュリティー会社 ESET のブログ記事 [welivesecurity.com]に少し載っている。

      ・どのバージョンに入っているのか?

      Orbit Downloader のメインとなる実行形式ファイル orbitdm.exe に攻撃用コンポーネントが追加されたのは、 2012 年 12 月 25 日のバージョン 4.1.1.14 のリリースと 2013 年 1 月 10 日のバージョン 4.1.1.15 のリリースの間のどこかとしている (意味がよくわからないけれど、 4.1.1.14 には「攻撃用コンポーネントなし 4.1.1.14」と「攻撃用コンポーネント付き 4.1.1.14」の 2 種類があるということ?)。ただし、それより前から、使われていたかどうかは不明ながら orbitnet.exe という別の実行形式ファイルに攻撃用コンポーネントが入っていたとしており、どのバージョンが駄目なのか、完全にはわからない。

      ・どんなファイルが入っていればDDoS攻撃をするコンポーネントが入れられていることになるのか?

      実行ファイルの一部になっているので、ファイル名では区別が付かないと思う。ファイルサイズとかでわかりやすく区別が付くものかどうかは知らない。

      ・削除方法はアンインストールするだけで十分なのか?

      その疑問に答えるのは難しそう。

      Orbit Downloader の問題のバージョンでは、外部から実際に DDoS 攻撃を行う DLL ファイルをダウンロードして実行するようになっているので、どういう動作をしていたかはダウンロードされた DLL ファイルの中身による。ここでダウンロードされる DLL ファイルにはいろいろな種類があることが確認されている。発見済の DLL ファイルを解析した結果から、どういう動作をしていたか、可能性を列挙することはできるだろうけれど、未知の DLL ファイルが存在する可能性もあるので、「こうすれば大丈夫」という形の答えを出すのは無理ではないかと思う。

      親コメント
  • by Anonymous Coward on 2013年08月31日 16時37分 (#2451658)

    やたらと無料を謳ってるやつほど、怪しい

    • by Anonymous Coward

      Firefoxのダウンロードには最初「無料」って書いてなかったんだが、Firefoxをアップデートしない理由のアンケートをとったらそのトップが「無料ですか?」だったので「無料」と入れるようになったんだそうな。

      • しょうがないから、オープンソースライセンスのことから
        丁寧に説明しないと、優れたソフトが無償で使える仕組みを
        充分に説明することができないなぁ…と思っています。

        UNIXの来歴から、BSDの立てた橋頭堡、GNUの活躍とか、Sunの投資とか、Netscapeの英断とか
        そういう理由も説明すべきなのかもしれないけど
        なかなか、そこまで話を聞いて(読んで)くれる人もいないんだろうなぁ…

        まぁ、ともかくapt-getばっかりの俺には関係無い事案だった。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...