Cảnh báo: phần mềm gõ tiếng Việt Unikey bị chèn virus

Trong những ngày vừa qua, website http://unikey.org/ của tác giả Phạm Kim Long đã bị kiểm soát bởi tin tặc cho đến rạng sáng ngày 1/3/2012, tin tặc đã trỏ các link tải phần mềm Unikey về một website được làm giả của tin tặc ở trang web phần mềm Tự do mã nguồn mở SourceForge.net. Các file của phần mềm Unikey được lưu giữ ở website này cho đến rạng sáng nay đều chứa virus.

Xem thêm.

Thủ đoạn nhúng virus vào các phần mềm phổ biến ở Việt Nam đã từng được nhóm người với biệt danh Sinh Tử Lệnh sử dụng trong những năm vừa qua. Theo TQN, người đã phân tích rất nhiều virus phát tán bởi nhóm Sinh Tử Lệnh, thì:

Mới coi cái unikey40-RC2, đúng là có đính kèm em bé, code VC++ 2010.[…] vừa extract 3 file trojan nhúng trong resource của unikey, mạo danh TypeLib resource. Mùi này nghe quen quen, code của stl nữa à!

Đã extract ra được 3 file. 1 file là unikeynt.exe gốc, 2 ông kia là “mèo què”. Em xin tuyên bố: chính danh code của stl. Code quá quen rồi.

Ngoài Unikey ra, phiên bản đã bẻ khóa của phần mềm Internet Download Manager cũng nhiều khả năng đã bị nhiễm virus.

Nhấn vào đây để tải về phiên bản Unikey chính gốc của tác giả Phạm Kim Long.

Nếu bạn từng sử dụng phần mềm đã bẻ khóa thì 99% là máy tính của bạn không còn là máy tính của bạn nữa. Trong trường hợp của Unikey, để kiểm tra phiên bản mà bạn đang sử dụng có nhiễm virus hay không, hãy làm như sau:

  • Truy cập vào https://virustotal.com, đây là dịch vụ phân tích file có nhiễm virus hay không. Điểm hay của dịch vụ này là nó quét file bằng nhiều máy quét khác nhau.
  • Chọn và quét file Unikey.exe mà bạn đang sử dụng.
  • Nếu VirusTotal báo Detection ratio không phải là 0/43 thì khả năng cao là phiên bản mà bạn đang sử dụng đã nhiễm virus. Hiện giờ tôi chưa có thông tin về phần mềm diệt virus này, khi nào có tôi sẽ cập nhật thông báo này. Dẫu vậy lời khuyên là bạn nên cài lại máy tính sử dụng một nguồn phần mềm tin cậy. Tuyệt đối không sử dụng các đĩa Microsoft Windows 8000 đồng/đĩa.
  • Nếu VirusTotal thông báo Detection ration là 0/43, bạn hãy nhìn vào thông số SHA256 và tìm trong danh sách bên dưới. Nếu bạn thấy thông số SHA256 mà VirusTotal hiện ra trùng với một trong các chuỗi trong danh sách, thì phiên bản mà bạn đang sử dụng không bị virus. Nếu bạn không tìm thấy, vui lòng báo lại đây. Lưu ý danh sách này chỉ bao gồm các phiên bản UniKey 4.0 RC2, báo lại cho tôi biết nếu bạn sử dụng phiên bản khác.
Unikey4.0RC2-1101-Win32: aba5c0bff0442597ff8743b4fe7d28de945b78be01eb88fc4a95cadd1fbee409
Unikey4.0RC2-1101-Win64: eb49c2572528bfcb59d2dd12f52d4e02aeb7c6660d14c737702d830dac718acb
Unikey4.0RC2-Win32: c38d0f5956010fe6b4ff8943f29a40fd4bc92b3921bac60026527a6c3c14630b
Unikey4.0RC2-Win64: 5f0a915e0174d08ab8c9867501e0baba785b1bc26b46162926331a8c35aa8dcc
Chủ đề : Thông báo and tagged . Bookmark the permalink. Trackbacks are closed, but you can post a comment.

5 Comments

  1. leobio
    Posted 01/03/2012 at 10:25 pm | Permalink

    Co nghia la chi nhung file unikey downloaded gan day thoi phai khong ban?

    • Posted 01/03/2012 at 11:15 pm | Permalink

      @leobio
      vì không rõ là trang chủ Unikey.org bị chiếm quyền kiểm soát từ hồi nào (mới gần đây hay là lâu rồi) nên để chắc ăn bạn cứ làm theo hướng dẫn trong bài viết này để kiểm tra lại phiên bản Unikey đang sử dụng xem có bị nhiễm virus hay chưa.

  2. leobio
    Posted 02/03/2012 at 4:04 am | Permalink

    Cua toi detection ratio khong phai la 0/43 nhung chac la khong dinh virus vi khong thay may tinh co van de gi ca :) vi toi download ban 4.0RC1 cach day cung hon 1 nam roi.

  3. Posted 02/03/2012 at 4:35 pm | Permalink

    Trojan-Downloader.Win32.FakeUnikey.1, đã được CMC InfoSec cập nhật vào cơ sở dữ liệu của CMC Anvirus / CMC Internet Security. Người dùng có thể download công cụ tại: http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip

  4. Posted 06/03/2012 at 7:27 am | Permalink

    Mã SHA256 của em check ra hơi khác 1 chút:

    Unikey4.0RC2-1101-Win32: cf352e5e66bc33d170d42a67daa88c0b0a3f8de74fcbc8d2943c031234b7a826
    Unikey4.0RC2-1101-Win64: f01494f604c859b8f8dcffe428c9fce3f8ed5b47dc5492e2c327ed299e7ea337

    Em đã download lại phiên bản từ SourceForge và check SHA256 thì cũng ra tương tự như vậy :)

Post a Comment

Your email is never published nor shared. Required fields are marked *

*
*

You may use these HTML tags and attributes <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>