banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát  XML
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 02/03/2012 13:20:58 (+0700) | #61 | 256638
[Avatar]
Bamboo VN
Member

[Minus]    0    [Plus]
Joined: 24/02/2012 05:14:13
Messages: 3
Offline
[Profile] [PM]
Hướng dẫn xử lý trojan cài trong phần mềm Unikey – Trojan BotFakeUNK


Hiện nay một số phần mềm Unikey trên mạng đã bị cài mã độc BotFakeUNK.Trojan. Khi người sử dụng chạy Unikey, trojan này sẽ được kích hoạt và lây nhiễm vào máy tính. Trojan này cài đặt một service để kiểm soát máy tính với tên là odservice (tên gần giống với service odserv của Microsoft), file thực thi của trojan nằm ở thư mục %Program Files%\Common Files\Microsoft Shared\OFFICE\ODSERV.EXE.

Bkav đã cập nhật mẫu nhận diện các mã độc này trong các phiên bản miễn phí và có phí. Người sử dụng có thể tải về Bkav mới nhất để kiểm tra và xử lý virus trên máy (nếu có).
http://forum.bkav.com.vn/showthread.php?44715-Huong-dan-xu-ly-trojan-cai-trong-phan-mem-Unikey-Trojan-BotFakeUNK&p=469869#post469869

_____________ Vãi thật ____________________
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 02/03/2012 13:41:12 (+0700) | #62 | 256640
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Một tiên ích gõ tiếng Việt mắc gì mà gởi packets tới broadcast address tại cổng đích 137, 138 và còn connect tới multicast address tại cổng 1900 để làm gì vậy ta? smilie . Khó hiểu thật.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 02/03/2012 14:17:31 (+0700) | #63 | 256645
covirut
Member

[Minus]    0    [Plus]
Joined: 02/03/2012 00:37:38
Messages: 4
Offline
[Profile] [PM]
Có mấy mẫu virus gửi các anh phân tích: http://share.vnn.vn/dl.php/5498113

pass: 123

và share code tool diệt cho những con gà mờ như em.

hic bọn cẩu sinh tử lệnh dơ bẩn.

[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 02/03/2012 14:24:10 (+0700) | #64 | 256646
Azx
Member

[Minus]    0    [Plus]
Joined: 05/07/2010 22:50:36
Messages: 9
Location: black hole
Offline
[Profile] [PM]
mình nhớ là cách đây mấy tháng máy bị dính virus nó ăn hết các file setup .exe phải cài lại win. Sau đó mềnh cài kaspersky. Khi lên trang của Unikey down lại thì toàn bị kaspersky báo là file down về chứa virus lúc ất mình cứ nghĩ Unikey có cái j đó làm KAV nhận dạng nhầm giống BKAV trước đây. Bây giờ thấy có vụ này thì có lẽ nào Unikey bị tấn công từ rất lâu rồi nhưng giờ mới phát hiện ra smilie
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 02/03/2012 14:49:14 (+0700) | #65 | 256649
[Avatar]
Bamboo VN
Member

[Minus]    0    [Plus]
Joined: 24/02/2012 05:14:13
Messages: 3
Offline
[Profile] [PM]

Bamboo VN;469963 wrote:
SHA256: dcd9b1827b73cb59349c80a9b7ea819226c8a2fe1e30b56c2d5516dc33846f87 File name: BHome3562.exe Detection ratio: 5 / 43 Analysis date: 2012-03-02 07:05:57 UTC ( 1 phút ago )

https://www.virustotal.com/file/dcd9b1827b73cb59349c80a9b7ea819226c8a2fe1e30b56c2d5516dc33846f87/analysis/1330671957/
Hãi và lo lắng quá đi mất 


Bamboo VN;470028 wrote:
Có khi nào Bkav homepage bị hách cơ chèn Mã độc vào phần mềm BKAV giống Unikey bị hôm 01/03/2012 không các pác ?
Không điều gì là không thể, cẩn thận vẫn hơn . Cảnh báo ae nhá :-"
Database 4rum hình như đang bị lỗi, Edit bài post không đc ???


 


Bkav Labs #ID:526;470034 wrote:
Đây là chỉ hiện tượng các phần mềm diệt virus khác nhận nhầm file cài đặt của Bkav Home là virus. Theo như khuyến cáo của Microsoft thì bạn chỉ nên cài đặt một chương trình diệt virus trên một máy tính để tránh xảy ra xung đột. 

http://forum.bkav.com.vn/showthread.php?44730-Co-phai-Bkav-home-co-Trojan-&p=470028#post470028.
Boo em xài nhiều trình Virus trên máy , thật là bó tay .

Trojan.PWS.Gamania.origin is a very malicious item that designed to allow remote access to your computer to largely occupy precious system resource, trace your Internet habits to record/steal your personal information.


Bamboo VN;470057 wrote:
DrWeb báo có Trojan.PWS.Gamania.origin => BKAV có cài Troạn trong BKAV Home à pác ? 


Bkav Labs #ID:526;470062 wrote:
Như mình đã trả lời bạn ở trên: Đây chỉ là hiện tượng nhận nhầm giữa các phần mềm diệt virus. Vấn đề này đã được Bkav tiếp nhận và sẽ có biện pháp xử lý. 




[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 02/03/2012 15:12:38 (+0700) | #66 | 256651
[Avatar]
camaptrang
Member

[Minus]    0    [Plus]
Joined: 11/11/2004 01:43:32
Messages: 188
Location: US
Offline
[Profile] [PM] [Yahoo!]
Unikey trên mạng tồn tại bản có trojan từ lâu rồi.
Vụ này CMC lựa đúng thời điểm để ghi điểm he he he
bkav mà gặp KIS là xong phim ....
--- o0o -----
vote cho CMC nhà bạn bolzano_1989 smilie smilie smilie
Mỗi một đồng mua sản phẩm tàu, có thể sẽ trở thành một viên đạn bắn vào đồng bào chiến sĩ Vietnam ...
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 02/03/2012 15:51:39 (+0700) | #67 | 256658
thanhsara
Member

[Minus]    0    [Plus]
Joined: 10/04/2007 23:14:38
Messages: 5
Offline
[Profile] [PM]

shift9x wrote:

xnohat wrote:
Công cụ Kiểm tra Unikey của bạn có nhiễm STL Virus


Đây là công cụ kiểm tra Phiên bản Unikey 4.0 RC 2 trên máy của bạn có bị nhiễm virus của bọn "Sinh Tử Lệnh" hay không

Tải về phiên bản dành cho máy dùng Windows 32 bit: http://www.mediafire.com/?r0pvbvslksr2wg0
Checksum: 66d24e692b2b988d150a5bc0d39e84e7
Tải về phiên bản dành cho máy dùng Windows 64 bit: http://www.mediafire.com/?nvb2qagil95526x
Checksum: e70a8f4747bcc106e87519bf84d4dd10

Cách dùng:

Copy file CheckUnikeySTLVirus-32bit.exe vào thư mục chứa chương trình Unikey ( chỗ có chứa file UnikeyNT.exe ). Kích chạy file CheckUnikeySTLVirus-32bit.exe ( hoặc CheckUnikeySTLVirus-64bit.exe nếu chạy trên Windows 64bit )

Chương trình này được tôi viết bằng AutoIt, chức năng chính là so sánh Checksum của phiên bản Unikey trên máy với phiên bản Unikey 4.0 RC2 thật của tác giả Phạm Kim Long.

Source chương trình: http://www.mediafire.com/?97gdzldi6a3333n



 


Kết quả sau khi kiểm tra bằng chương trình anh xnohat:



 


Mình cũng dính chấu rùi, mà dùng bản beta 4.0 cài từ lâu rùi mà ta


---------------------------
Bao dong !!!
---------------------------
May ban da nhiem virus cua stl trong file UKHook40.dll vui long cap nhat chuong trinh diet virus cua ban hoac tai ve CMC Antivirus tai:

http://www.cmcinfosec.com



DEBUG Ma Hash: CA5ABB185A7DCE5C8CB9EDAA3765DCE2
---------------------------
OK
---------------------------




Quyét bằng CMS mà lại náo thế này thì ý là sao

Code:
REPORT - CMC INTERNET SECURITY
Generated by cmccore.exe on 02/03/2012 4:55:43 CH
Session started on: 02/03/2012 4:55:42 CH	 Total Scanning Time: 00:00:00
Scanned total 22 files and 3 folders	 0 files was FOUND to be infected
Scan for files in: "C:\Program Files\UniKey"	 Database 3341697 viruses
  
  
© CMC Information Security 2007-2012
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 02/03/2012 16:07:50 (+0700) | #68 | 256663
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

Lion~King wrote:
Ai có link tải http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip với ko download được chắc bị ddos smilie 


Hiện giờ mình tải được công cụ CMC Information Security's Trojan-Downloader.Win32.FakeUnikey.1 removal tool bình thường, bạn thử lại nhé smilie .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 02/03/2012 16:15:23 (+0700) | #69 | 256665
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

thanhsara wrote:

shift9x wrote:

xnohat wrote:
Công cụ Kiểm tra Unikey của bạn có nhiễm STL Virus


Đây là công cụ kiểm tra Phiên bản Unikey 4.0 RC 2 trên máy của bạn có bị nhiễm virus của bọn "Sinh Tử Lệnh" hay không

Tải về phiên bản dành cho máy dùng Windows 32 bit: http://www.mediafire.com/?r0pvbvslksr2wg0
Checksum: 66d24e692b2b988d150a5bc0d39e84e7
Tải về phiên bản dành cho máy dùng Windows 64 bit: http://www.mediafire.com/?nvb2qagil95526x
Checksum: e70a8f4747bcc106e87519bf84d4dd10

Cách dùng:

Copy file CheckUnikeySTLVirus-32bit.exe vào thư mục chứa chương trình Unikey ( chỗ có chứa file UnikeyNT.exe ). Kích chạy file CheckUnikeySTLVirus-32bit.exe ( hoặc CheckUnikeySTLVirus-64bit.exe nếu chạy trên Windows 64bit )

Chương trình này được tôi viết bằng AutoIt, chức năng chính là so sánh Checksum của phiên bản Unikey trên máy với phiên bản Unikey 4.0 RC2 thật của tác giả Phạm Kim Long.

Source chương trình: http://www.mediafire.com/?97gdzldi6a3333n



 


Kết quả sau khi kiểm tra bằng chương trình anh xnohat:



 


Mình cũng dính chấu rùi, mà dùng bản beta 4.0 cài từ lâu rùi mà ta


---------------------------
Bao dong !!!
---------------------------
May ban da nhiem virus cua stl trong file UKHook40.dll vui long cap nhat chuong trinh diet virus cua ban hoac tai ve CMC Antivirus tai:

http://www.cmcinfosec.com



DEBUG Ma Hash: CA5ABB185A7DCE5C8CB9EDAA3765DCE2
---------------------------
OK
---------------------------




Quyét bằng CMS mà lại náo thế này thì ý là sao

Code:
REPORT - CMC INTERNET SECURITY
Generated by cmccore.exe on 02/03/2012 4:55:43 CH
Session started on: 02/03/2012 4:55:42 CH	 Total Scanning Time: 00:00:00
Scanned total 22 files and 3 folders	 0 files was FOUND to be infected
Scan for files in: "C:\Program Files\UniKey"	 Database 3341697 viruses
  
  
© CMC Information Security 2007-2012
 


Dựa trên thông tin mã hash mà công cụ của anh xnohat cung cấp thì trường hợp của bạn không sao cả, file đó là file sạch, do anh xnohat dựa trên một danh sách các file làm whitelist còn hạn chế nên đưa ra cảnh báo chưa chính xác thôi. CMC Internet Security cho kết quả quét như vậy là đúng rồi smilie.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 02/03/2012 16:21:32 (+0700) | #70 | 256666
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

thanhsara wrote:

shift9x wrote:

xnohat wrote:
Công cụ Kiểm tra Unikey của bạn có nhiễm STL Virus


Đây là công cụ kiểm tra Phiên bản Unikey 4.0 RC 2 trên máy của bạn có bị nhiễm virus của bọn "Sinh Tử Lệnh" hay không

Tải về phiên bản dành cho máy dùng Windows 32 bit: http://www.mediafire.com/?r0pvbvslksr2wg0
Checksum: 66d24e692b2b988d150a5bc0d39e84e7
Tải về phiên bản dành cho máy dùng Windows 64 bit: http://www.mediafire.com/?nvb2qagil95526x
Checksum: e70a8f4747bcc106e87519bf84d4dd10

Cách dùng:

Copy file CheckUnikeySTLVirus-32bit.exe vào thư mục chứa chương trình Unikey ( chỗ có chứa file UnikeyNT.exe ). Kích chạy file CheckUnikeySTLVirus-32bit.exe ( hoặc CheckUnikeySTLVirus-64bit.exe nếu chạy trên Windows 64bit )

Chương trình này được tôi viết bằng AutoIt, chức năng chính là so sánh Checksum của phiên bản Unikey trên máy với phiên bản Unikey 4.0 RC2 thật của tác giả Phạm Kim Long.

Source chương trình: http://www.mediafire.com/?97gdzldi6a3333n



 


Kết quả sau khi kiểm tra bằng chương trình anh xnohat:



 


Mình cũng dính chấu rùi, mà dùng bản beta 4.0 cài từ lâu rùi mà ta


---------------------------
Bao dong !!!
---------------------------
May ban da nhiem virus cua stl trong file UKHook40.dll vui long cap nhat chuong trinh diet virus cua ban hoac tai ve CMC Antivirus tai:

http://www.cmcinfosec.com



DEBUG Ma Hash: CA5ABB185A7DCE5C8CB9EDAA3765DCE2
---------------------------
OK
---------------------------




Quyét bằng CMS mà lại náo thế này thì ý là sao

Code:
REPORT - CMC INTERNET SECURITY
Generated by cmccore.exe on 02/03/2012 4:55:43 CH
Session started on: 02/03/2012 4:55:42 CH	 Total Scanning Time: 00:00:00
Scanned total 22 files and 3 folders	 0 files was FOUND to be infected
Scan for files in: "C:\Program Files\UniKey"	 Database 3341697 viruses
  
  
© CMC Information Security 2007-2012
 


Công cụ trên chỉ dùng để check các Unikey 4.0 RC 2 tải về trong 2 tháng gần đây. Bản Unikey Beta dĩ nhiên là khác hash nên bị nhận diện lầm

Để chắc ăn kiểm tra lại bằng http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip

Nếu Tool CMC.CleanFakeUnikey.zip báo máy bạn sạch thì bạn có thể an tâm smilie

P/s: vụ này phải nói nhờ CMC mà chúng ta dẹp sớm được lũ stl manh nha làm loạn lại smilie
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 02/03/2012 16:42:01 (+0700) | #71 | 256670
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Đã trị được mã độc chèn trong phần mềm Unikey - PC World VN
http://www.pcworld.com.vn/articles/chuyen-muc/an-toan-thong-tin/2012/03/1230803/da-tri-duoc-ma-doc-chen-trong-phan-mem-unikey/
ND

Hãng bảo mật CMC InfoSec đã đưa ra bản cập nhật và phát hành công cụ loại trừ mã độc do hacker chèn trong phần mềm Unikey và đưa lên trang unikey.org sau khi nắm quyền kiểm soát trang này.


Mã độc này được CMC InfoSec đặt tên là Trojan-Downloader.Win32.FakeUnikey.1. Sau khi cài đặt thành công, mã độc sẽ cài đặt dịch vụ vào máy người dùng, sau đó tải thêm các mã độc khác và biến máy tính bị lây nhiễm trở thành máy tính thuộc mạng máy tính ma (botnet) dưới sự kiểm soát của hacker.



Công cụ diệt mã độc chèn trên Unikey.


Ông Nguyễn Hoàng Giang - CisLab - cho biết "ít nhất malware đã được đưa lên mạng từ 23/1/2012 hoặc có thể là trước đó, số lượng người dùng bị lừa tải phần mềm Unikey có chứa mã độc là rất lớn".
Mã độc này được phát tán qua việc chèn mã độc vào phần mềm Unikey sau khi chiếm quyền kiểm sát hoàn toàn website unikey.org trong những tháng đầu năm 2012. Tin tặc đã trỏ các đường dẫn tải phần mềm Unikey về một website được làm giả của tin tặc ở trang web phần mềm SourceForge.net. Các file của phần mềm Unikey trên website này đều chứa phần mềm độc hại trojan.

Tác giả Unikey - Phạm Kim Long cho biết, trang web http://unikey.vn/vietnam/ cũng là giả mạo. Để đảm bảo chương trình sạch, mọi người hãy download bộ cài Unikey từ kho chính của sf.net không bị hack ở địa chỉ http://sf.net/projects/unikey .

Trojan-Downloader.Win32.FakeUnikey.1, đã được CMC InfoSec cập nhật vào cơ sở dữ liệu của CMC Anvirus/CMC Internet Security. Người dùng có thể download bộ cài phần mềm tại trang chủ của hãng: www.cmcinfosec.com, hoặc download công cụ tại: http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip .

Tin tức từ các báo khác:
Đã trị được mã độc giả dạng phần mềm Unikey
http://hanoimoi.com.vn/newsdetail/Cong-nghe/540444/%C4%91a-tri-duoc-ma-doc-gia-dang-phan-mem-unikey.htm

VietNamNet - Website Unikey bị hack, cài lén virus | Website Unikey bi hack, cai len virus
http://vietnamnet.vn/vn/cong-nghe-thong-tin-vien-thong/62493/website-unikey-bi-hack--cai-len-virus.html

Đã có công cụ kiểm tra và "trị" bản Unikey dính mã độc | ICTPress
http://ictpress.vn/thoi-su-ict/da-co-cong-cu-tri-ban-unikey-dinh-ma-doc

Đã trị được mã độc chèn trên Unikey | ICTNews
http://ictnews.vn/home/Bao-mat/19/Da-tri-duoc-ma-doc-chen-tren-Unikey/100923/index.ict

Đã có công cụ kiểm tra và “trị” bản Unikey dính mã độc - Thông tin công nghệ
http://www.thongtincongnghe.com/article/33433

Bộ gõ tiếng Việt Unikey bị chèn mã độc hại - Sức mạnh số - Dân trí
http://dantri.com.vn/c119/s119-570799/bo-go-tieng-viet-unikey-bi-chen-ma-doc-hai.htm

Bộ gõ tiếng Việt Unikey bị chèn mã độc hại - XãLuận.com Tin Nóng
http://www.xaluan.com/modules.php?name=News&file=article&sid=351962
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 02/03/2012 18:11:21 (+0700) | #72 | 256677
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]

TQN wrote:
Em có cảm giác là lạ, vụ này xảy ra có liên quan gì đó đến vụ BKAV. Lôi kéo bớt dư luận qua đây à. Cho chìm xuồng bên đó à ?
Ai cũng biết mấy anh coder BKAV toàn code = VC++ không à ?
Nói thật thời gian này em không có nhiều thời gian ngồi máy, mong các anh em RCE khác của HVA ta ra tay, đập cho nát đầu cái đám stl này. Bây giờ còn đòi sống lại, cài trojan vào các máy để tìm hacker à ?
Và em cũng dám chắc, vụ này, Unikey trang chủ bị dính trojan, đám BKAV sẽ im phăng phắc. Nhục quá đi mất !? 


Unikey của anh Long không nhiều tiền để thuê C50 điều tra anh à smilie
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 02/03/2012 19:06:59 (+0700) | #73 | 256680
[Avatar]
afterlastangel
Member

[Minus]    0    [Plus]
Joined: 08/12/2007 21:58:13
Messages: 33
Offline
[Profile] [PM] [WWW]

mv1098 wrote:

TQN wrote:
Em có cảm giác là lạ, vụ này xảy ra có liên quan gì đó đến vụ BKAV. Lôi kéo bớt dư luận qua đây à. Cho chìm xuồng bên đó à ?
Ai cũng biết mấy anh coder BKAV toàn code = VC++ không à ?
Nói thật thời gian này em không có nhiều thời gian ngồi máy, mong các anh em RCE khác của HVA ta ra tay, đập cho nát đầu cái đám stl này. Bây giờ còn đòi sống lại, cài trojan vào các máy để tìm hacker à ?
Và em cũng dám chắc, vụ này, Unikey trang chủ bị dính trojan, đám BKAV sẽ im phăng phắc. Nhục quá đi mất !? 


Unikey của anh Long không nhiều tiền để thuê C50 điều tra anh à smilie 


Quan trọng là điều tra rồi để làm gì. Điều tra được chắc gì tóm được. Mà tóm được rồi để làm gì. Nói chung vụ này thì chắc không cần C50 gì đó mà nhiều người cũng sẽ ra tay truy tìm.
Beneath this mask there is more than flesh. Beneath this mask there is an idea, and ideas are bulletproof.
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 02/03/2012 22:48:11 (+0700) | #74 | 256700
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Anh chị em thành viên diễn đàn HVAOnline và bạn đọc cần chú ý là ngay sau khi quét virus với công cụ Trojan-Downloader.Win32.FakeUnikey.1 removal tool của CMC InfoSec, nếu đã phát hiện và diệt trojan của nhóm hacker stl xong thì anh chị em cần gấp rút cập nhật đầy đủ phần mềm diệt virus của máy tính, quét virus lại toàn bộ máy tính, khởi động lại máy tính rồi nhanh chóng đổi password cho các tài khoản quan trọng của bản thân (email, chat, facebook,...). Nếu có điều kiện, người dùng máy tính nên quét virus thêm với CMC Antivirus bản miễn phí hoặc CMC Internet Security bản quyền.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 02/03/2012 23:08:01 (+0700) | #75 | 256702
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Bộ gõ Unikey bị nhúng mã độc, lây nhiễm lan rộng  - Nhịp Sống Số - Tuổi Trẻ Online

http://nhipsongso.tuoitre.vn/Nhip-song-so/480307/Bo-go-Unikey-bi-nhung-ma-doc%C2%A0lay-nhiem-lan-rong%C2%A0.html

TTO - Sau khi chiếm quyền điều khiển website Unikey.org, tin tặc đã thay đổi địa chỉ tải bộ gõ tiếng Việt Unikey sang một địa chỉ giả mạo. Hơn 23.000 người dùng đã bị lây nhiễm mã độc và con số tiếp tục tăng nhanh.


Hack website, nhúng mã độc
Ngày 1-3, thành viên bolzano_1989 từ diễn đàn Hacker Vietnam (HVA Online) đã cảnh báo về website Unikey.org bị hacker chiếm quyền kiểm soát và chuyển hướng tải bộ gõ tiếng Việt Unikey sang một trang giả mạo do hacker này tạo ra.

Hacker đã rất tinh vi trong kỹ thuật đánh lừa các nạn nhân khiến họ không thể nào biết được mình đang truy cập vào một địa chỉ giả mạo gần giống với địa chỉ thật tại SourceForge.net, vô tư tải về bộ gõ Unikey đã có kèm mã độc. Cụ thể là hai địa chỉ: sourceforge.net/projects/unikey/ (thật) và sourceforge.net/projects/unjkey (giả), khác biệt ở chữ i và j.



Website Unikey.org bị chiếm quyền điều khiển và liên kết tải bộ gõ Unikey cũng bị đổi sang địa chỉ giả mạo sourceforge.net/projects/unjkey



Địa chỉ web giả mạo sourceforge.net/projects/unjkey, cung cấp bộ gõ Unikey có kèm mã độc


Unikey là bộ gõ tiếng Việt mã nguồn mở do tác giả Phạm Kim Long phát triển và cung cấp miễn phí sử dụng từ website Unikey.org. Unikey là một trong những phần mềm hỗ trợ gõ tiếng Việt trên máy tính dùng Windows được sử dụng rộng rãi nhất, bởi các tính năng như nhỏ gọn, tiện dụng, linh hoạt và không cần cài đặt.

Số lượt tải về mỗi ngày vào khoảng 3.000 lượt từ người dùng Việt khắp nơi trên thế giới (số liệu thống kê từ SourceForge, website cung cấp dịch vụ lưu trữ cho các phần mềm nguồn mở).

Ngay sau khi phát hiện vụ việc, nhóm quản trị HVA Online đã tích cực liên hệ tác giả Phạm Kim Long để xử lý. Ngày 2-3, SourceForge đã chính thức xóa sổ trang giả mạo và tác giả Phạm Kim Long cũng đã lấy lại được quyền điều khiển website Unikey.org. Tuy vậy, hậu quả của vụ tấn công có mục đích này rất nghiêm trọng.

Mối nguy hại rất lớn

Theo trao đổi với Nhịp Sống Số, từ phân tích của nhóm thành viên HVA Online cho thấy có thể xâu chuỗi đợt tấn công này với các đợt tấn công tương tự vào nhiều website Việt Nam trong năm 2011. Với cùng cách thức tương tự, chiếm website, rải mã độc, một nhóm hacker đang thu thập thêm số lượng "máy tính ma" (zombie), bổ sung vào đội quân botnet, phục vụ các chiến dịch tấn công từ chối dịch vụ DDoS.


"Khác với các đợt tấn công trước đây, đây là dạng tấn công vào nguồn, gần như chưa bao giờ xảy ra tại Việt Nam và cũng rất hiếm khi xảy ra trên thế giới. Qua đó cho thấy mức độ phức tạp của các đợt tấn công mới và năm 2012 sẽ đón nhận thêm nhiều cuộc tấn công tương tự", theo nhận định từ thành viên xnohat từ HVA Online.
Sau khi phân tích mã nguồn, nhóm điều tra từ HVA Online cũng cho biết loại mã độc được nhúng vào bộ gõ Unikey có cấu trúc tương tự loại mã độc được phát hiện trong các phần mềm lậu được phát tán trên nhiều website hay diễn đàn tại Việt Nam. Một số phần mềm lậu được nhiều người ưa chuộng tải về là IDM (Internet Download Manager) cũng bị "dính" mã độc trên và "rất khó bị phát hiện". Mã độc chỉ là một module nhỏ đóng vai trò downloader, sau khi lây nhiễm vào hệ thống sẽ chịu trách nhiệm tải thêm các module gây hại khác về máy tính nạn nhân tùy thuộc chủ đích của chủ nhân.

Trong năm 2011, các thành viên của HVA Online cũng phát hiện một số mã độc, tình nghi cùng một nhóm tội phạm phát tán, đã biến rất nhiều máy tính người dùng ở Việt Nam thành công cụ để tấn công DDoS vào các website có chủ đích. Thông tin ban đầu cho thấy tổ chức tội phạm này rất tinh vi và chuyên nghiệp. Hiện vẫn chưa thể truy vết được cụ thể.

Đáng lo ngại hơn, hầu hết người dùng đã tải về bộ gõ Unikey có nhiễm mã độc trên sourceforge.net trong khoảng thời gian từ ngày 30-1 đến 2-3-2012 đều không biết máy tính của mình đã nhiễm mã độc. Hơn nữa, do cấu trúc phân mảnh phức tạp của loại mã độc mới này chưa được các chương trình anti-virus phổ biến hiện nay nhận diện nên chúng vẫn ung dung sống trên máy nạn nhân.

Ngoài ra, bộ gõ Unikey nhiễm độc sẽ tiếp tục được phát tán một cách vô ý thông qua các chủ nhân của những website hay diễn đàn, họ đóng góp file đã tải về và đưa lên website của mình để những thành viên có thể tải về dùng. Trong khi đó, các kỹ thuật viên đã tải bộ Unikey nhiễm bẩn đưa chúng vào các phiên bản ghost để cài đặt nhanh nhiều máy tính (bản sao lưu Norton Ghost). Mức độ lây nhiễm sẽ phủ rộng hơn, phạm vi lan tỏa ở con số nhiều triệu máy tính.

Cách diệt "mã độc Unikey"

Công ty bảo mật CMC Infosec đã nhanh chóng đưa ra giải pháp loại bỏ mã độc "Unikey" này qua công cụ miễn phí có thể tải về tại đây ( http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip ).

Các thành viên HVA Online cũng đang tích cực gửi các bản mẫu mã độc mới đến những hãng bảo mật lớn để bổ sung chúng vào danh sách nhận diện của các trình anti-virus.

Bạn đọc cần lưu ý tải các phần mềm, tiện ích từ chính website của nhà cung cấp, không tải về từ các diễn đàn hay website cung cấp phần mềm lậu. Đại đa số chúng đều có nhúng mã độc nguy hại bên trong, có thể đánh cắp dữ liệu từ máy tính nạn nhân. Luôn cần sử dụng trình bảo mật anti-virus và cả tường lửa (firewall) khi thường xuyên dùng kết nối Internet.


THANH TRỰC
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 02/03/2012 23:15:51 (+0700) | #76 | 256703
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Mã độc "đồn trú" trên Unikey | Thanh Niên Online
http://www.thanhnien.com.vn/pages/20120302/ma-doc-don-tru-tren-unikey.aspx

02/03/2012 15:16

(TNO) Công ty bảo mật CMC Infosec nhận định mã độc đã được tin tặc "cấy" vào trang chủ Unikey.org từ giữa tháng 1.2012 trước khi tiến hành phát tán rộng rãi và khẳng định hiện đã có công cụ độc lập để loại bỏ mối nguy hại này trên máy tính người dùng.

Cụ thể, khi người dùng tải về bộ gõ Unikey từ trang chủ Unikey.org, thay vì nhận được một ứng dụng "sạch" thì thay vào đó là một ứng dụng giả mạo kèm mã độc (dạng trojan). Hay nói chính xác, tin tặc đã "chuyển tiếp" lệnh tải về của người dùng đến một trang web giả mạo phần mềm Unikey và cung cấp bản tải về là một phần mềm chứa mã độc.

Trong thông cáo báo chí phát đi chiều 2.3 (một ngày sau khi sự cố liên quan đến Unikey được phát hiện), công ty CMC Infosec đã cung cấp một công cụ tải về miễn phí mà qua đó có thể loại bỏ mã độc này. Người dùng có thể tải về công cụ này từ địa chỉ http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip .



Giao diện công cụ quét mã độc trên Unikey của CMC Infosec - Ảnh do CMC cung cấp

Trao đổi với phóng viên Thanh Niên Online, ông Võ Đỗ Thắng - Giám đốc trung tâm đào tạo an ninh mạng ATHENA - cho biết đây thực chất là một hình thức cấy trojan vào phần mềm, do đó khi người dùng tải về phần mềm (trong trường hợp này là Unikey) thì cũng sẽ tải về trojan. Khi phần mềm được cài vào máy tính, máy tính đương nhiên dính trojan.

"Đây là một kỹ thuật đánh lừa người sử dụng. Máy tính nhiễm trojan sẽ bị điều khiển bởi tin tặc và điều này có thể gây hậu quả khôn lường", ông Thắng nhận định.

An Huy
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 03/03/2012 08:17:15 (+0700) | #77 | 256708
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Mẫu của covirut chỉ có file v1.db là malware. Nó chứa trong bụng (resource) một biến thể lạ của bộ BackupSvc hồi xưa. Extract ra, quét = KIS không phát hiện ra.
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 03/03/2012 09:22:37 (+0700) | #78 | 256714
covirut
Member

[Minus]    0    [Plus]
Joined: 02/03/2012 00:37:38
Messages: 4
Offline
[Profile] [PM]

covirut wrote:
Có mấy mẫu virus gửi các anh phân tích: http://share.vnn.vn/dl.php/5498113

pass: 123

và share code tool diệt cho những con gà mờ như em.

hic bọn cẩu sinh tử lệnh dơ bẩn.

 


TQN wrote:
Mẫu của covirut chỉ có file v1.db là malware. Nó chứa trong bụng (resource) một biến thể lạ của bộ BackupSvc hồi xưa. Extract ra, quét = KIS không phát hiện ra. 


anh tqn phân tích rồi sao không share code diệt bạn khốn stl đi


cái v1.db thì có được anh avira phát hiện là TR/Drop.FrontDown.A mà gg chẳng thấy tin gì.

chẳng biết cách diệt thế nào.

hic. thế là mất hết pass với thông tin cá nhân với bọn cẩu stl rồi

dạo này đang chát chit với 1 em nữa chứ

em mà gặp được bọn cẩu stl em chém
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 03/03/2012 12:03:30 (+0700) | #79 | 256726
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Đây là bài viết được mình gửi lên diễn đàn HVAOnline vào cuối tháng 8 năm 2011 để giúp đỡ các bạn cung cấp thông tin điều tra thêm về trojan, virus của nhóm hacker stl, vấn nạn này vẫn đang rất thời sự nên mình gửi lại ở đây cho mọi người tham khảo:

Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau:

Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/

Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line)
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/

Hướng dẫn scan và gửi log TCPView
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/

Lưu ý:
Mình chỉ nhận xem các file log cho các máy tính có triệu chứng nhiễm virus của stl rõ ràng.
Các bạn cần tắt tất cả các trình duyệt web trên máy, sau đó dùng phần mềm TCPView, SmartSniff hay các chương trình tương tự để xác định máy tính của bạn có kết nối tự động đến một trong các website sau hay các website nào khác hay không:

1. http://danlambaovn.blogspot.com
2. http://www.aihuuphuyen.org
3. http://nguoiduatinkami.wordpress.com
4. http://vrvradio.com
5. http://aotrangoi.com
6. http://viettan.org
7. http://dangviettan.wordpress.com
8. http://radiochantroimoi.com
9. http://radiochantroimoi.wordpress.com
10. http://vietnamnet.vn
11.  



Nếu có thì khi gửi các file log cho mình, các bạn vui lòng ghi rõ website nào mà máy tính của bạn đang tự động kết nối đến vì mình chỉ kiểm tra cho các máy nào có dấu hiệu nhiễm virus của stl.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 03/03/2012 12:08:53 (+0700) | #80 | 256727
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Sơ bộ vậy chứ chưa xong, covirut à. Thông cảm, không có đầu óc và thời gian nữa, sáng một chút, trưa một chút à.
Em nên liên hệ bolzano để CMC update cái v1.db và đám đi kèm trong bụng.
Cũng chưa có thời gian ngồi đồng phân tích cái đống fake unikey trên. Nhưng nhờ anh em CMC giải thích giúp, ngoài tính năn clean, delete fake unikey, tool của CMC có phát hiện và clean các mèo què đi kèm fake unikey hay không.
Fake unikeys thường, luôn đi theo cách này:
1. User download fakeunikey.exe về. Run.
2. fakeunikey extract unikey thật ra %temp% và extract ra luôn các em bé đính kèm.
3. CreateProcess unikey thât trong temp và kích hoạt các em bé kia.
4. Đánh dấu next reboot, delete fake unikey, move unikey thật vào thư mục ban đầu or %program file%.

Có nghĩa là hầu hết, sau lần run đầu tiên và reboot, fake unikey sẽ bị xoá đi, chỉ còn lại Unikey thật và các em bé được giấu trong hang cùng ngõ hẻm trong hệ thống Win-đâu.
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 03/03/2012 12:11:27 (+0700) | #81 | 256728
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
covirut, tạm thời mong bạn đừng scan virus với phần mềm diệt virus nào cả vì sẽ mất dấu vết (tạm thời bạn đừng dùng máy tính bị nhiễm trojan này mà hãy sang một máy sạch khác, đổi pasword tất cả các tài khoản cần thiết ngay), mình muốn tìm thêm đám trojan nằm vùng ở máy tính của bạn, bạn hãy thực hiện theo bài viết hướng dẫn mình vừa gửi ở trên nhé smilie.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 03/03/2012 12:43:49 (+0700) | #82 | 256730
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Có “thuốc” trị mã độc do hacker cài trên Unikey -- Vietnam+ (VietnamPlus) --- 03/03/2012
http://www.vietnamplus.vn/Home/Co-thuoc-tri-ma-doc-do-hacker-cai-tren-Unikey/20123/128874.vnplus

03/03/2012 | 10:31:00

Ngày 3/3, Công ty cổ phần An ninh An toàn thông tin CMC (CMC InfoSec) cho biết, sau 24 giờ nhận được thông tin Unikey bị hacker chèn mã độc, đơn vị này đã xử lý, đưa ra bản cập nhật và phát hành công cụ loại trừ.

Phía CMC InfoSec cho hay, loại virus này đã được hãng cập nhật vào cơ sở dữ liệu phần mềm diệt virus của hãng này (CMC Anvirus/CMC Internet Security). Người dùng có thể download bộ cài phần mềm tại www.cmcinfosec.com .



Công cụ diệt mã độc chèn trên Unikey.org của CMC InFosec. (Nguồn: CMC)

Mã độc này được phát tán qua việc chèn mã độc vào phần mềm Unikey sau khi chiếm quyền kiểm sát hoàn toàn website unikey.org. Tin tặc đã trỏ các đường dẫn tải phần mềm Unikey về một website được làm giả của tin tặc ở trang web SourceForge.net. Các file của phần mềm Unikey trên website này đều chứa phần mềm độc hại trojan.

Sau khi cài đặt thành công, mã độc này sẽ cài đặt dịch vụ vào máy người dùng, sau đó tải thêm các mã độc khác và biến máy tính bị lây nhiễm trở thành máy tính thuộc mạng máy tính ma dưới sự kiểm soát của hacker.

Unikey là một trong những bộ gõ tiếng Việt được yêu thích. Mã độc này được hacker đưa lên mạng từ cuối tháng Một vừa qua và do đó số lượng người dùng bị lừa tải phần mềm Unikey có chứa mã độc có thể là rất lớn.

Anh Phạm Kim Long, tác giả phần mềm Unikey cho biết, trang web http://unikey.vn/vietnam/ cũng là giả mạo. Để đảm bảo chương trình sạch, người dùng hãy download bộ cài Unikey ở địa chỉ http://sf.net/projects/unikey .

Trung Hiền (Vietnam+)
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 03/03/2012 13:27:28 (+0700) | #83 | 256732
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
2 covirus: tụi nó có súng đấy em, đừng dại mà chơi dao. Né ra đi em !
Sau lần reboot, Từ fake Unikey ban đầu download về, các bạn vẫn có Unikey sạch, quét không ra gì cả. Nhưng máy các bạn đã được stl bonus "mèo què", dấu ở chổ khác. Xin chia buồn. Chỉ còn đợi CMC update và diệt cái đám bonus đi kèm thôi.
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 03/03/2012 13:44:50 (+0700) | #84 | 256736
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

TQN wrote:
Sơ bộ vậy chứ chưa xong, covirut à. Thông cảm, không có đầu óc và thời gian nữa, sáng một chút, trưa một chút à.
Em nên liên hệ bolzano để CMC update cái v1.db và đám đi kèm trong bụng.
Cũng chưa có thời gian ngồi đồng phân tích cái đống fake unikey trên. Nhưng nhờ anh em CMC giải thích giúp, ngoài tính năn clean, delete fake unikey, tool của CMC có phát hiện và clean các mèo què đi kèm fake unikey hay không.
Fake unikeys thường, luôn đi theo cách này:
1. User download fakeunikey.exe về. Run.
2. fakeunikey extract unikey thật ra %temp% và extract ra luôn các em bé đính kèm.
3. CreateProcess unikey thât trong temp và kích hoạt các em bé kia.
4. Đánh dấu next reboot, delete fake unikey, move unikey thật vào thư mục ban đầu or %program file%.

Có nghĩa là hầu hết, sau lần run đầu tiên và reboot, fake unikey sẽ bị xoá đi, chỉ còn lại Unikey thật và các em bé được giấu trong hang cùng ngõ hẻm trong hệ thống Win-đâu.
 


TQN wrote:
2 covirus: tụi nó có súng đấy em, đừng dại mà chơi dao. Né ra đi em !
Sau lần reboot, Từ fake Unikey ban đầu download về, các bạn vẫn có Unikey sạch, quét không ra gì cả. Nhưng máy các bạn đã được stl bonus "mèo què", dấu ở chổ khác. Xin chia buồn. Chỉ còn đợi CMC update và diệt cái đám bonus đi kèm thôi. 


Trojan-Downloader.Win32.FakeUnikey.1 removal tool của CMC InfoSec, scan và diệt fake Unikey và cả đám malware đi kèm theo (sau khi cài đặt fake Unikey) trong vụ Unikey.org này thôi anh.
Các bản fake Unikey được phát tán qua các website, diễn đàn khác thì cần dùng CMC Antivirus/CMC Internet Secury quét toàn máy và cần anh em thu thập thêm thông tin, virus sample.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 03/03/2012 16:33:46 (+0700) | #85 | 256758
covirut
Member

[Minus]    0    [Plus]
Joined: 02/03/2012 00:37:38
Messages: 4
Offline
[Profile] [PM]
sao khi gử mail cho bolzano_1989(at)cmclab.net
không gửi đựoc?

toàn bị trả về lỗi.
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 03/03/2012 18:19:58 (+0700) | #86 | 256764
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

covirut wrote:
sao khi gử mail cho bolzano_1989(at)cmclab.net
không gửi đựoc?

toàn bị trả về lỗi. 


Bạn gửi tin nhắn cho mình qua diễn đàn cũng được.
Bạn cho mình biết thông báo lỗi hay chụp ảnh lỗi cho mình xem được chứ?

Update: Mình đã nhận được email của bạn rồi nhé smilie .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 03/03/2012 23:50:31 (+0700) | #87 | 256782
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
UniKey - Vietnamese Keyboard for Windows and Linux
http://unikey.org/index.php#news

March 1, 2012: Official announcement from Pham Kim Long

  • During February 2012, unikey.org had been modified by hackers. They changed the links for downloading unikey programs to a fake project in sourceforge.net. The fake programs contain trojan viruses as reported here and in several security communities (HVA, CMC InfoSec). We have restored unikey.org, and now all the links https://www.virustotal.com/file/232907a1f0871c518ce5b89db39a1f622c0511c4e00f99ff606db90efb6e25e4/analysis/) correctly point to our programs in http://sf.net/projects/unikey.
  • For those who downloaded from unikey.org between Jan. 31 - 2012 and Feb. 29 - 2012, please remove them, and scan your computers using up-to-date anti virus programs. You can now safely download unikey programs from unikey.org.
  • unikey.org is the only official site for UniKey Vietnamese Input Method. I am not responsible for any other web sites in the name of UniKey.
  • Official UniKey programs are hosted at SourceForge at the address http://sf.net/projects/unikey. You can verify the programs you have using MD5 and SHA1 checksums from here ( http://sourceforge.net/projects/unikey/files/unikey-win/4.0%20RC2/ ).


UniKey - Vietnamese Keyboard for Windows and Linux - Bàn phím tiếng Việt cho Windows
http://unikey.org/index.php?langset=vie

Ngày 1/3/2012: Thông báo chính thức về việc web site unikey.org bị đột nhập

  • Thời gian vừa qua, unikey.org đã bị kẻ xấu đột nhập thay đổi đường link đến download các chương trình unikey. Đây là các chương trình chứa mã độc hại. Đến ngày 1/3/2012 website đã được khôi phục lại với các đường link đến chương trình chính thức không có mã độc hại.
  • Với những ai đã download từ unikey.org trong thời gian từ 31/1/2012 đến 29/2/2012, xin hãy xóa các file đã download và dùng các chương trình diệt virus mới nhất, hay các công cụ từ một số cộng đồng security (HVA, CMC InfoSec) để kiểm tra lại máy. Sau đó download lại unikey từ unikey.org.
  • UniKey chỉ có 1 website chính thức duy nhất tại unikey.org. Tác giả UniKey không chịu trách nhiệm về bất cứ website nào khác lấy danh nghĩa unikey.
  • Các chương trình UniKey được lưu trữ tại http://sf.net/projects/unikey là các chương trình gốc, không chữa mã độc. Các bạn có thể đối chiếu mã MD5, SHA1 từ địa chỉ này ( http://sourceforge.net/projects/unikey/files/unikey-win/4.0%20RC2/ ).
  • Tác giả UniKey gửi lời xin lỗi đến tất cả những người đã bị ảnh hưởng bởi sự cố này.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 04/03/2012 03:34:29 (+0700) | #88 | 256791
enix
Member

[Minus]    0    [Plus]
Joined: 14/02/2012 00:43:18
Messages: 2
Offline
[Profile] [PM]
Bác bolzano_1989 cho em hỏi là CMC có thể quét các virus từ trước của STL ko, unikey em xài hiện nay vẫn ổn nhưng ko chắc các phần mềm crack khác như IDM có bị dính và lỡ click nhầm vào cái j đó.
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 04/03/2012 08:50:00 (+0700) | #89 | 256807
binh_minhnh
Member

[Minus]    0    [Plus]
Joined: 25/02/2012 04:44:22
Messages: 7
Offline
[Profile] [PM]
Các anh kiểm tra thử file unikey của em có bị không (quét trên virustotal thì không có gì và cả avira cũng không có). File này chỉ có 1 file duy nhất tên là 32unikey40RC2 (em down cũng được 2 năm rồi - xem date modified là 9/26/2010). Vì file này chỉ có 1 file duy nhất không giống như file unikey khác khi giải nén ra có 3 file là UnikeyNT,UKHook40.dll và file keymap nên không biết có phải file của em có dính không.
Link đây : http://www.mediafire.com/?63872tg1nczu0gn
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 04/03/2012 10:55:07 (+0700) | #90 | 256815
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

enix wrote:
Bác bolzano_1989 cho em hỏi là CMC có thể quét các virus từ trước của STL ko, unikey em xài hiện nay vẫn ổn nhưng ko chắc các phần mềm crack khác như IDM có bị dính và lỡ click nhầm vào cái j đó. 


Nếu bạn theo dõi các chủ đề về đám virus nội của stl ở diễn đàn HVAOnline, bạn sẽ thấy khác với Bkav có tình trạng làm ngơ virus của nhóm hacker stl một thời gian dài với lí do nào đó của họ, CMC InfoSec không nhân nhượng với đám virus này, dù cho nguồn gốc của chúng có xuất phát từ bất cứ nơi nào, do tổ chức hay nhóm người nào viết ra. Mọi mẫu virus của nhóm hacker stl được thông báo đến các cộng đồng bảo mật đều được CMC InfoSec cập nhật trong thời gian sớm nhất có thể (thực tế là đã sớm hơn nhiều hãng antivirus nước ngoài), bạn có thể yên tâm về điều này. Điều này có được cũng là nhờ sự góp sức của các cộng đồng bảo mật như HVA, thu thập, thông báo và đóng góp các mẫu virus chưa được nhận diện. Tuy nhiên, một điều chắc chắn là còn nhiều mẫu virus của stl ngoài kia mà các hãng antivirus ngoại và nội đều chưa có mẫu và signature nhận diện, các bạn cần chú ý điều này và không quên việc kiểm tra máy tính, đóng góp mẫu virus cũng như thực hiện các nguyên tắc sử dụng máy tính an toàn và bảo mật được thu thập ở chủ đề sau: http://goo.gl/seQsx


Với một hãng bảo mật thì sự an toàn và bảo mật thông tin, dữ liệu của người dùng phải được đặt lên trên hết, việc này không thể bị nhân nhượng bởi bất cứ lí do nào (Chẳng hạn, một hãng antivirus có thể tuyên bố là họ cần theo dõi virus thêm mà không cập nhật signature nhận diện virus kịp thời bảo vệ người dùng,...).
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|