人気ダウンロードツール「Orbit Downloader」にDDoS攻撃用のコンポーネントが含まれていたことが判明 30
ストーリー by hylom
経緯が謎過ぎる 部門より
経緯が謎過ぎる 部門より
人気ダウンロードツール「Orbit Downloader」に、外部からの遠隔操作によってDDoS攻撃を行うコンポーネントが含まれていたことが判明した(Security Next)。開発元のInnoshockからの発表などはなく、故意に含めたのか、それとも外部からの攻撃などによって混入したのかは不明。
セキュリティ企業ESETが解析して発見したもので、同社はOrbit Downloaderとトロイの木馬として認定、一部ダウンロードサイトなどではこれを受けて公開を停止している。
やっぱりそうだったのか (スコア:4, 参考になる)
高速ルータ/スイッチが処理落ちした原因を探った結果、発信元がOrbitDownloaderとの結果がでまして、
送信元IPアドレスを偽り、外部に対して膨大な量のアクセスを試みる悪意のある動作を行うという社内調査結果だったのでほぼ同じ内容ですね
ってのが2ヶ月前の話で社内で利用禁止になってます^^;
Re: (スコア:0)
やっぱり何か仕込まれてたんですね。
ある日突然我が家の家庭内ネットワークが激重になり、Orbitが鬼のような上りアクセスをしているとわかったので速攻アンインストールしてました。
Re: (スコア:0)
ユーザ数は多いだろうからユーザの帯域を使い潰さずとも十分成果が出ただろうに…
DDoSなのに分散攻撃元がDoSされちゃダメだろ。
実際に、それもユーザ側で障害が起きるレベルで使用されてからバックドアが発覚したって事は、
バレないよう攻撃に使う帯域幅を絞っててバレてない奴もいるんじゃないか?
#この手のダウンローダは妙に怪しげで入れるのを躊躇ってパスすることも多かったんだが、ホントにヤバかったとは…
Re: (スコア:0)
まぁ、落とすためのツールですから・・・
Re: (スコア:0)
ああ成程、Downって相手をDownさせるって意味なのか。
……loadはどこ行った。
Re:やっぱりそうだったのか (スコア:3)
Re: (スコア:0)
コンピュータの負荷(load)になっているのだ
Re: (スコア:0)
>……loadはどこ行った。
もちろん、負荷は相手のサーバに。Downさせるための負荷ですから。
#それ、Uploadじゃね?
Re: (スコア:0)
負荷がアップアップ
↓
ロードがアップアップ
↓
アップロード
度胸がなかった (スコア:4, 参考になる)
IE7Proのところかー。
入れようかどうか迷ってドメインをwhoisしたらChinaだったからやめた記憶が。
中国とロシアのソフトはちょっと怖くて入れられんなあ・・・。
Re: (スコア:0)
中国とロシアのソフトはちょっと怖くて入れられんなあ・・・。
この発想はなかった!
これからは whois することにします。
# スコアを増やしたいけどモデ権なんて持ってない
Re:度胸がなかった (スコア:1)
ごく普通の発想だが?
Re: (スコア:0)
韓国食品は食えないってのと同じくらい、ごく普通の発想だな
Re: (スコア:0)
素朴な疑問なんだどけ、カスペルスキーとかもだめ?
Re: (スコア:0)
情弱だけだよね
一年ぐらい前まで使ってました (スコア:2)
OS再インストールしてから、安定性向上のためw色々入れなくなりました
最近勝手に色々と他のソフトをインストールするものとか
なんだか行儀の悪いものが増えたような気がします
---
こっそりインストールして痕跡残さない奴なんてウィルスと何の違いが?
Re:一年ぐらい前まで使ってました (スコア:2)
昔は再インストールで変なソフトは淘汰されていったんですが
今は何かが入り込むとずっと残ってしまいますね。
Re: (スコア:0)
そもそも、ダウンロードツールって何に使うもの?昔は、分散ダウンロードとかが流行ってたけど、、こういうのってブロードバンドの普及で絶滅したんじゃないの?
Re: (スコア:0)
高負荷状態で接続タイムアウトが頻発するサーバからでかいファイルを落としてくるのに、リトライ・レジューム機能のついたダウンローダは重宝だろjk。
俺の場合はGNU wgetだけどな。
あれ?確か自分のマシンにもOrbit入ってたよな… (スコア:1)
みたいなディレクトリがあったはず!
ググったらGnomeの分散コンピューティング用ソフトウェアでした…
全然関係なかった
対策が難しいなぁ (スコア:1)
無害で有用なフリー(無料)ソフトとして公開し、
十分に人気が出て広まったところでマルウェアにアップデート。
という作戦に対する有効な対策はあるのだろうか。
もちろん『最初から信頼出来るソフトしか使わない』のがいいとは思うけれど、
そうでないソフトを使いたい場合は少なくない。
Webで情報をチェックしても、インストール時点ではマルウェアじゃないし、
今回みたいなソフトなら、ファイアウォールにも通信許可設定しちゃうだろうし、
普段使ってるソフトの変更をファイアウォールが通知してきても、OK出しちゃいそう。
マルウェア活動が地味で、破壊的でないなものであれば、
気づくことすらできないんじゃなかろうか……
さっそくアンインストールしたけど (スコア:0)
普通にアンインストールするだけでいいのかな…
いかにもゴミを残していきそうなんだけど
Re: (スコア:0)
そうですね、あなたの御懸念はもっともです。こちらの魔除けの御札と幸運を呼ぶ壺はいかがですか?
Re: (スコア:0)
『パソコンが遅いですか?
今すぐ Download』
# ってなスパム広告撲滅してほしい。
Re:さっそくアンインストールしたけど (スコア:2)
以前クリーナーソフト・アンチウイルスソフトと称したウイルスが本当にありましたからね(PC Defenderなど)。
この手のものは今だとスマートフォンで絶賛公開中かな。どう考えてもこの権限必要ないでしょ、というアプリの多いこと……。
自由の行使には責任を伴わなければならない
追加情報が欲しい (スコア:0)
続報としてこれぐらいの情報が欲しいな。
・どのバージョンに入っているのか?
・どんなファイルが入っていればDDoS攻撃をするコンポーネントが入れられていることになるのか?
・削除方法はアンインストールするだけで十分なのか?
Re:追加情報が欲しい (スコア:2)
本件の技術的なことについては、発見者であるセキュリティー会社 ESET のブログ記事 [welivesecurity.com]に少し載っている。
Orbit Downloader のメインとなる実行形式ファイル orbitdm.exe に攻撃用コンポーネントが追加されたのは、 2012 年 12 月 25 日のバージョン 4.1.1.14 のリリースと 2013 年 1 月 10 日のバージョン 4.1.1.15 のリリースの間のどこかとしている (意味がよくわからないけれど、 4.1.1.14 には「攻撃用コンポーネントなし 4.1.1.14」と「攻撃用コンポーネント付き 4.1.1.14」の 2 種類があるということ?)。ただし、それより前から、使われていたかどうかは不明ながら orbitnet.exe という別の実行形式ファイルに攻撃用コンポーネントが入っていたとしており、どのバージョンが駄目なのか、完全にはわからない。
実行ファイルの一部になっているので、ファイル名では区別が付かないと思う。ファイルサイズとかでわかりやすく区別が付くものかどうかは知らない。
その疑問に答えるのは難しそう。
Orbit Downloader の問題のバージョンでは、外部から実際に DDoS 攻撃を行う DLL ファイルをダウンロードして実行するようになっているので、どういう動作をしていたかはダウンロードされた DLL ファイルの中身による。ここでダウンロードされる DLL ファイルにはいろいろな種類があることが確認されている。発見済の DLL ファイルを解析した結果から、どういう動作をしていたか、可能性を列挙することはできるだろうけれど、未知の DLL ファイルが存在する可能性もあるので、「こうすれば大丈夫」という形の答えを出すのは無理ではないかと思う。
ふむ・・・ (スコア:0)
やたらと無料を謳ってるやつほど、怪しい
Re: (スコア:0)
Firefoxのダウンロードには最初「無料」って書いてなかったんだが、Firefoxをアップデートしない理由のアンケートをとったらそのトップが「無料ですか?」だったので「無料」と入れるようになったんだそうな。
無料のブランドイメージ最悪 (スコア:0)
しょうがないから、オープンソースライセンスのことから
丁寧に説明しないと、優れたソフトが無償で使える仕組みを
充分に説明することができないなぁ…と思っています。
UNIXの来歴から、BSDの立てた橋頭堡、GNUの活躍とか、Sunの投資とか、Netscapeの英断とか
そういう理由も説明すべきなのかもしれないけど
なかなか、そこまで話を聞いて(読んで)くれる人もいないんだろうなぁ…
まぁ、ともかくapt-getばっかりの俺には関係無い事案だった。