Mới đây, các chuyên gia bảo mật từ ESET sau khi phân tích Orbit Downloader đã kết luận nó có chưa công cụ tấn công từ chối dịch vụ (DDoS), đặc biệt nguy hại bởi phần lớn ảnh hưởng là các IP từ Việt Nam (ISP FPT).
Thông tin này mới được ESET xác nhận hôm qua, nhưng thực ra nó không mới. Trước đây (24/04) trên trang diễn đàn chính thức của Orbit đã có thành viên cảnh báo điều tương tự, tuy nhiên nó đã bị BQT bỏ qua.
"Ngày 23/07/2013 công ty an ninh mạng Cyberoam của Mỹ đã đưa ra lời cảnh báo đến tất cả các cá nhân sử dụng phần mềm Orbit Downloader vì phần mềm này khi được cài đặt sẽ biến máy tính thành một đầu mối gây SYN Flooding. Các kiểm tra kĩ thuật của Cyberoam cho thấy sau khi khởi động Orbit Downloader sẽ nhanh chóng tạo ra các kết nối SYN ở mức 50-70 KPPS (khoảng 5-7 Mbps), làm nghẽn các mạng, gây chậm trễ của các thiết bị gateway hay chuyển mạch. Mặc dầu bản thân phần mềm Orbit Downloader khong bị nhận diện là virus nhưng nó tiến hành đến hơn 1300 kết nối tại một thời điểm. Các địa chỉ IP bị nhắm nhiều nhát là 118.69.172.122, 118.69.169.103, 118.69.169.95, 118.69.172.247 (ISP FPT, VN).
Khi kiểm tra các gói TCP SYNC, Cyberoam phát hiện ra rằng các gói do Orbit Downloader sinh ra mang theo các địa chỉ IP công cộng giả, không có trong mạng. Và các IP này sẽ được thay đổi sau 3 gói. Chính vì vậy nó sẽ tạo ra ngập lụt DDoS, quá tải của CPU và bộ nhớ ở các thiết bị mạng và chuyển mạch, dẫn đến treo mạng. Mặt khác các gói này cũng chưa đựng thông tin MAC ảo của nguồn phát (tất cả các gói sẽ được ghi xuất phát từ địa chỉ MAC as 0a:0a:0a:0a:0a:0a). Điều này làm khó khăn thêm trong việc định vị nguồn phát sinh các gói dữ liệu này.
Nhà sản xuất của Orbit Downloader đã không trả lời các câu hỏi của Cyberoam về các phát hiện nói trên.
Các trang CNTT của Đức như CHIP, pc-magazin hay heise cũng đã đưa ra cảnh báo về Orbit Downloader cho người dùng"
Sau khi phân tích, các chuyên gia từ ESET phát hiện thành phần độc hại được thêm vào file thực thi chính "orbitdm.exe". Với sự phổ biến của Orbit, ước tính nó có thể tạo ra lưu lượng ở mức gigabit (hoặc nhiều hơn) nhằm vào mục đích tấn công từ chối dịch vụ (DDoS).
"Trên một máy tính thử nghiệm, yêu cầu kết nối HTTP được gửi với tốc độ khoảng 140.000 gói mỗi giây, các IP chủ yếu bị ảnh hưởng đến từ Việt Nam" - Goretsky (chuyên gia ESET) nói thêm.
ESET đã cập nhật thêm mối nguy hại này (Win32/DDoS.Orbiter.A) vào các sản phẩm của họ. Liên kết tải về phần mềm Orbit đã bị xóa tại trang tin tức công nghệ uy tín Softpedia.
Cho đến khi Innoshock (công ti chủ quản của Orbit Downloader) làm rõ vấn đề, mọi người không nên tiếp tục sử dụng phần mềm này và hãy gỡ bỏ khỏi máy tính.
Thông tin này mới được ESET xác nhận hôm qua, nhưng thực ra nó không mới. Trước đây (24/04) trên trang diễn đàn chính thức của Orbit đã có thành viên cảnh báo điều tương tự, tuy nhiên nó đã bị BQT bỏ qua.
"Ngày 23/07/2013 công ty an ninh mạng Cyberoam của Mỹ đã đưa ra lời cảnh báo đến tất cả các cá nhân sử dụng phần mềm Orbit Downloader vì phần mềm này khi được cài đặt sẽ biến máy tính thành một đầu mối gây SYN Flooding. Các kiểm tra kĩ thuật của Cyberoam cho thấy sau khi khởi động Orbit Downloader sẽ nhanh chóng tạo ra các kết nối SYN ở mức 50-70 KPPS (khoảng 5-7 Mbps), làm nghẽn các mạng, gây chậm trễ của các thiết bị gateway hay chuyển mạch. Mặc dầu bản thân phần mềm Orbit Downloader khong bị nhận diện là virus nhưng nó tiến hành đến hơn 1300 kết nối tại một thời điểm. Các địa chỉ IP bị nhắm nhiều nhát là 118.69.172.122, 118.69.169.103, 118.69.169.95, 118.69.172.247 (ISP FPT, VN).
Khi kiểm tra các gói TCP SYNC, Cyberoam phát hiện ra rằng các gói do Orbit Downloader sinh ra mang theo các địa chỉ IP công cộng giả, không có trong mạng. Và các IP này sẽ được thay đổi sau 3 gói. Chính vì vậy nó sẽ tạo ra ngập lụt DDoS, quá tải của CPU và bộ nhớ ở các thiết bị mạng và chuyển mạch, dẫn đến treo mạng. Mặt khác các gói này cũng chưa đựng thông tin MAC ảo của nguồn phát (tất cả các gói sẽ được ghi xuất phát từ địa chỉ MAC as 0a:0a:0a:0a:0a:0a). Điều này làm khó khăn thêm trong việc định vị nguồn phát sinh các gói dữ liệu này.
Nhà sản xuất của Orbit Downloader đã không trả lời các câu hỏi của Cyberoam về các phát hiện nói trên.
Các trang CNTT của Đức như CHIP, pc-magazin hay heise cũng đã đưa ra cảnh báo về Orbit Downloader cho người dùng"
Sau khi phân tích, các chuyên gia từ ESET phát hiện thành phần độc hại được thêm vào file thực thi chính "orbitdm.exe". Với sự phổ biến của Orbit, ước tính nó có thể tạo ra lưu lượng ở mức gigabit (hoặc nhiều hơn) nhằm vào mục đích tấn công từ chối dịch vụ (DDoS).
"Trên một máy tính thử nghiệm, yêu cầu kết nối HTTP được gửi với tốc độ khoảng 140.000 gói mỗi giây, các IP chủ yếu bị ảnh hưởng đến từ Việt Nam" - Goretsky (chuyên gia ESET) nói thêm.
ESET đã cập nhật thêm mối nguy hại này (Win32/DDoS.Orbiter.A) vào các sản phẩm của họ. Liên kết tải về phần mềm Orbit đã bị xóa tại trang tin tức công nghệ uy tín Softpedia.
Cho đến khi Innoshock (công ti chủ quản của Orbit Downloader) làm rõ vấn đề, mọi người không nên tiếp tục sử dụng phần mềm này và hãy gỡ bỏ khỏi máy tính.
Tổng hợp từ voz và softpedia.
