【危険】Orbit DownloaderにDDoS攻撃機能! ダウンロードソフトの裏の顔が明らかに
 
日本でも使い方や紹介サイトをわりと見かける、中国 Innoshock Team が提供する無料ダウンロード支援ソフト
 
 Orbit Downloader
(オービット ダウンローダー)
 
に危険な DDoS攻撃機能 が含まれてると、スロバキアのセキュリティ会社 ESET が『軌道減衰: 人気ファイルダウンロードツールの暗黒面(ダークサイド)』というタイトルで報告してます。
 

http://i44.tinypic.com/2eklyxe.png

 

Orbit Downloader 公式サイト hxxp://www.orbitdownloader.com/jp/
Orbital Decay: the dark side of a popular file downloading tool (ESET、2013年8月)
http://www.welivesecurity.com/2013/08/21/orbital-decay-the-dark-side-of-a-popular-file-downloading-tool/

日本で蔓延しているDDoS攻撃を行うウイルスへの対応について (キヤノンITソリューションズ)
http://canon-its.jp/supp/eset/notify20130823.html

人気動画ダウンローダーにDDoS攻撃用コンポーネント - 国内利用者も多数 (Security NEXT)
http://www.security-next.com/042625
2012年12月のバージョン4.1.1.14 や 2013年1月のバージョン 4.1.1.15以降から、現時点の最新バージョン4.1.1.18 に DDos攻撃機能 が含まれてるそうで…

Orbit Downloader の開発元 KORAM GAMES LIMITED

ところで、Orbit Downloader のインストーラ形式な実行ファルをダウンロードしてみたら、デジタル署名が「KORAM GAMES LIMITED」なんよねぇ...
 
ここは、あの中国のオンラインソフト紹介サイト BrotherSoft(ブラザーソフト) の運営元ですよっと。
 
フリーソフトの無断転載やら何かやらで前に一悶着あったことで有名(?)だし、アドウェアを送り込む広告インストーラを配布するサイトでもあります。

Orbit Downloaderが投下するDDos攻撃コンポーネント

ESET の指摘を受けてセキュリティ会社も対応の動き!
 
インストールすると常駐(?)する orbitdm.exe が落としこむDDoS攻撃機能を含む危険なDLLコンポーネントのウイルス検出名はコチラ!
 
> hxxps://www.virustotal.com/en/file/8d9d7e0dbcd9cc9de3b9b03b7166b22407d93c18447137211d8b1112de8cb91c/analysis/
 
【ウイルス検出名例】
Avira TR/Dldr.Orbit.A
avast Win32:OrbitDDOS-B
ESET Win32/DDoS.Orbiter.A
AVG DoS.CSA
McAfee DoS-FAA!809D5A4AF232
Microsoft DDoS:Win32/Orbit.A
Symantec Trojan.Gen.2
Trend Micro TROJ_GEN.R0CBC0DHN13 (DDOS_TRIBO.AB)
 
また、海外のオンラインソフト紹介サイトも Orbit Downloader を削除する措置を取ってます。
  • CNET Download.com … ダウンロードリンクを削除し、紹介ページのみ存在
  • Softonic.com … ダウンロードリンクを削除 → いつの間にか紹介ページも消去
  • Softpedia 、MajorGeeks … 紹介ページを消去
     
  • Softonic.jp … 変化なし
  • Vector … 昔は紹介ページが存在したようだけど2012年あたりに消滅してる
  • 窓の杜 … 以前からから紹介ページが存在しない
<2015年5月 追記...>
 
Softonic.jp はDDoS攻撃機能を含む危険バージョンがダウンロードできる状態で放置されてたけど、2015年5月に紹介ページが消去されたのを確認しました。

日本でも前から怪しい挙動を指摘する声が

こんなおっかない Orbit Downloader の裏の顔が明るみになる前に、怪しげな挙動を指摘してる Twitter のつぶやきがいくつかりました。
 
■ Twitter / rikuta0209: おすすめのダウンローダーとしてOrbit Downloaderが説明されてることが多いが、あれの通信を監視してると、良くわからないところと通信をしてることが多い。割と常に。俺が使った時は、起動中常にインドかどっかのサーバと通信してた。
https://twitter.com/rikuta0209/status/295518127251402752

■ Twitter / siga117612: 家のネットワークを圧迫してたのはOrbit downloaderだったみたい。これが起動して少しバグった感じになったら秒速1Mパケットレベルのデータ量が送信される感じになってた
https://twitter.com/siga117612/status/339752921023533056

Twitter / ark6954: Orbit Downloaderが犯人と断定。ver.4.1.1.13にはしていたのだが… バージョン情報のマッチングのためか、何やらせっせとパケット送信してた。
https://twitter.com/ark6954/status/286798774360211456
 
あと、業務パソコンに社員が無断で Orbit Downloader をインストールしていたことが原因で起こった企業でのトラブル事例もありました。
 
【Orbit Downloader】ネットが通じなくなった【解決済み】 (フシギにステキな素早いヤバさ)
http://yaoki.hatenablog.com/entry/2013/09/06/131617