Trong những ngày vừa qua, website http://unikey.org/ của tác giả Phạm Kim Long đã bị kiểm soát bởi tin tặc cho đến rạng sáng ngày 1/3/2012, tin tặc đã trỏ các link tải phần mềm Unikey về một website được làm giả của tin tặc ở trang web phần mềm Tự do mã nguồn mở SourceForge.net. Các file của phần mềm Unikey được lưu giữ ở website này cho đến rạng sáng nay đều chứa virus.
Thủ đoạn nhúng virus vào các phần mềm phổ biến ở Việt Nam đã từng được nhóm người với biệt danh Sinh Tử Lệnh sử dụng trong những năm vừa qua. Theo TQN, người đã phân tích rất nhiều virus phát tán bởi nhóm Sinh Tử Lệnh, thì:
Mới coi cái unikey40-RC2, đúng là có đính kèm em bé, code VC++ 2010.[...] vừa extract 3 file trojan nhúng trong resource của unikey, mạo danh TypeLib resource. Mùi này nghe quen quen, code của stl nữa à!
Đã extract ra được 3 file. 1 file là unikeynt.exe gốc, 2 ông kia là “mèo què”. Em xin tuyên bố: chính danh code của stl. Code quá quen rồi.
Ngoài Unikey ra, phiên bản đã bẻ khóa của phần mềm Internet Download Manager cũng nhiều khả năng đã bị nhiễm virus.
Nhấn vào đây để tải về phiên bản Unikey chính gốc của tác giả Phạm Kim Long.
Nếu bạn từng sử dụng phần mềm đã bẻ khóa thì 99% là máy tính của bạn không còn là máy tính của bạn nữa. Trong trường hợp của Unikey, để kiểm tra phiên bản mà bạn đang sử dụng có nhiễm virus hay không, hãy làm như sau:
- Truy cập vào https://virustotal.com, đây là dịch vụ phân tích file có nhiễm virus hay không. Điểm hay của dịch vụ này là nó quét file bằng nhiều máy quét khác nhau.
- Chọn và quét file Unikey.exe mà bạn đang sử dụng.
- Nếu VirusTotal báo Detection ratio không phải là 0/43 thì khả năng cao là phiên bản mà bạn đang sử dụng đã nhiễm virus. Hiện giờ tôi chưa có thông tin về phần mềm diệt virus này, khi nào có tôi sẽ cập nhật thông báo này. Dẫu vậy lời khuyên là bạn nên cài lại máy tính sử dụng một nguồn phần mềm tin cậy. Tuyệt đối không sử dụng các đĩa Microsoft Windows 8000 đồng/đĩa.
- Nếu VirusTotal thông báo Detection ration là 0/43, bạn hãy nhìn vào thông số SHA256 và tìm trong danh sách bên dưới. Nếu bạn thấy thông số SHA256 mà VirusTotal hiện ra trùng với một trong các chuỗi trong danh sách, thì phiên bản mà bạn đang sử dụng không bị virus. Nếu bạn không tìm thấy, vui lòng báo lại đây. Lưu ý danh sách này chỉ bao gồm các phiên bản UniKey 4.0 RC2, báo lại cho tôi biết nếu bạn sử dụng phiên bản khác.
Unikey4.0RC2-1101-Win32: aba5c0bff0442597ff8743b4fe7d28de945b78be01eb88fc4a95cadd1fbee409Unikey4.0RC2-1101-Win64: eb49c2572528bfcb59d2dd12f52d4e02aeb7c6660d14c737702d830dac718acbUnikey4.0RC2-Win32: c38d0f5956010fe6b4ff8943f29a40fd4bc92b3921bac60026527a6c3c14630bUnikey4.0RC2-Win64: 5f0a915e0174d08ab8c9867501e0baba785b1bc26b46162926331a8c35aa8dcc
5 Comments
Co nghia la chi nhung file unikey downloaded gan day thoi phai khong ban?
@leobio
vì không rõ là trang chủ Unikey.org bị chiếm quyền kiểm soát từ hồi nào (mới gần đây hay là lâu rồi) nên để chắc ăn bạn cứ làm theo hướng dẫn trong bài viết này để kiểm tra lại phiên bản Unikey đang sử dụng xem có bị nhiễm virus hay chưa.
Cua toi detection ratio khong phai la 0/43 nhung chac la khong dinh virus vi khong thay may tinh co van de gi ca
vi toi download ban 4.0RC1 cach day cung hon 1 nam roi.
Trojan-Downloader.Win32.FakeUnikey.1, đã được CMC InfoSec cập nhật vào cơ sở dữ liệu của CMC Anvirus / CMC Internet Security. Người dùng có thể download công cụ tại: http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip
Mã SHA256 của em check ra hơi khác 1 chút:
Unikey4.0RC2-1101-Win32: cf352e5e66bc33d170d42a67daa88c0b0a3f8de74fcbc8d2943c031234b7a826
Unikey4.0RC2-1101-Win64: f01494f604c859b8f8dcffe428c9fce3f8ed5b47dc5492e2c327ed299e7ea337
Em đã download lại phiên bản từ SourceForge và check SHA256 thì cũng ra tương tự như vậy