<![CDATA[Latest posts for the topic "Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát"]]> /hvaonline/posts/list/28.html JForum - http://www.jforum.net Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát http://unikey.org/ của tác giả Phạm Kim Long đã bị kiểm soát bởi hacker cho đến rạng sáng ngày 1/3/2012, tin tặc đã trỏ các link tải phần mềm Unikey về một website được làm giả của tin tặc ở trang web phần mềm Tự do mã nguồn mở SourceForge.net. Các file của phần mềm Unikey được lưu giữ ở website này cho đến rạng sáng nay đều chứa phần mềm độc hại trojan. Đây là trang web giả mạo của tin tặc: Unikey Vietnamese Input Method Code:
http://sourceforge.net/projects/unjkey/

Ảnh cho thấy website Unikey.org của tác giả Phạm Kim Long đã bị kiểm soát bởi hacker:



Các máy tính đã được cài đặt phần mềm Unikey chứa trojan này cần được quét virus với phần mềm chống virus được cập nhật dữ liệu mới nhất, mọi người có thể dùng phần mềm CMC Antivirus miễn phí hoặc CMC Internet Security bản quyền đã được cập nhật để diệt các phần mềm độc hại này kịp thời :) . Xin hãy thông báo tin tức này cho gia đình, người thân và bạn bè của bạn được biết để tránh là nạn nhân của hacker. Tham khảo từ diễn đàn CMC InfoSec: [Thông báo] Trojan được chèn vào phần mềm Unikey ở website SourceForge.net Code:
http://support.cmclab.net/vn/virus-research/(thong-bao)-trojan-duoc-chen-vao-phan-mem-unikey-o-website-sourceforge-net/
Cập nhật: 1/3/2012: Hiện tại anh Phạm Kim Long đã report và tài khoản giả mạo của hacker đã bị xóa: Code:
http://sourceforge.net/apps/trac/sourceforge/ticket/24601
Code:
http://sourceforge.net/users/unikeypklong

Trang chủ của project Unikey Vietnamese Input Method ở website SourceForge.net hiện đã được phục hồi và hoạt động trở lại bình thường (vào rạng sáng 1/3/2012, trang web này vẫn không thể truy cập được): Code:
http://sourceforge.net/projects/unikey/
2/3/2012: Link tải công cụ CMC.CleanFakeUnikey diệt stl malware trong Unikey: CMC Information Security's Trojan-Downloader.Win32.FakeUnikey.1 removal tool Code:
http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip
Với mọi góp ý về công cụ này (detection, removal, false positive,...), các bạn có thể gửi tại chủ đề này hoặc ở diễn đàn CMC InfoSec. Ngoài ra, xin các bạn vui lòng không upload công cụ này đến các trang chia sẻ file để chia sẻ cho mọi người do có thể bị kẻ xấu lợi dụng, chèn mã độc hại vào công cụ này.]]>
/hvaonline/posts/list/41404.html#256417 /hvaonline/posts/list/41404.html#256417 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256421 /hvaonline/posts/list/41404.html#256421 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

conmale wrote:
Có ai có mẫu của các phần mềm giả mạo này không? Vui lòng upload để phân tích và cảnh báo đến các AV. 
Cháu vẫn giữ để bác nào có nhã hứng RCE http://www.mediafire.com/?bjrft361j31banm Đã nén thêm lần nữa để tránh double click. Pass: hvaonline]]>
/hvaonline/posts/list/41404.html#256424 /hvaonline/posts/list/41404.html#256424 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256427 /hvaonline/posts/list/41404.html#256427 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

xnohat wrote:
Trong tuần qua đã có hơn 12.000 lượt tải bản Unikey giả mạo chứa Virus. Vậy sơ sơ là chúng đã có một mạng botnet khá khá rồi Năm hạn roài,mới có 2 tháng đầu năm mà đủ thứ chuyện vậy nè :( 
Đó chỉ mới là cho đến ngày 23/2/2012 thôi anh :( . Trọn full bộ mẫu virus sẽ được mình gửi đến anh TQN và nhóm malware RCE của HVA.]]>
/hvaonline/posts/list/41404.html#256428 /hvaonline/posts/list/41404.html#256428 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

bolzano_1989 wrote:

xnohat wrote:
Trong tuần qua đã có hơn 12.000 lượt tải bản Unikey giả mạo chứa Virus. Vậy sơ sơ là chúng đã có một mạng botnet khá khá rồi Năm hạn roài,mới có 2 tháng đầu năm mà đủ thứ chuyện vậy nè :( 
Đó chỉ mới là cho đến ngày 23/2/2012 thôi anh :( . Trọn full bộ mẫu virus sẽ được mình gửi đến anh TQN và nhóm malware RCE của HVA. 
Cảm ơn bolzano, em PM anh và gởi anh bộ này nhá?]]>
/hvaonline/posts/list/41404.html#256430 /hvaonline/posts/list/41404.html#256430 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

conmale wrote:

bolzano_1989 wrote:

xnohat wrote:
Trong tuần qua đã có hơn 12.000 lượt tải bản Unikey giả mạo chứa Virus. Vậy sơ sơ là chúng đã có một mạng botnet khá khá rồi Năm hạn roài,mới có 2 tháng đầu năm mà đủ thứ chuyện vậy nè :( 
Đó chỉ mới là cho đến ngày 23/2/2012 thôi anh :( . Trọn full bộ mẫu virus sẽ được mình gửi đến anh TQN và nhóm malware RCE của HVA. 
Cảm ơn bolzano, em PM anh và gởi anh bộ này nhá? 
Em đã gửi anh bộ file chưa được lọc rồi, có thể thừa do em chỉ tập trung gom mẫu thôi.]]>
/hvaonline/posts/list/41404.html#256438 /hvaonline/posts/list/41404.html#256438 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256442 /hvaonline/posts/list/41404.html#256442 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256449 /hvaonline/posts/list/41404.html#256449 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

vikjava wrote:
Vụ STL chúng ta khuyên nên vào trang chủ download các phần mềm. Giờ vào trang chủ cũng bị dính chưởng :| . Có khi nào là của mấy bác STL nữa không ta :-S . Có lẽ nên thông báo rộng rãi cho cộng đồng, đồng thời tổ chức một chầu nhậu cho anh em RCE có sức làm việc B-)  
Nhân tiện Bác Mai rửa cái bằng nữa anh :D Làm luôn một thể cho tiện :*- anh em RCE báo danh :x - Ky0 - ]]>
/hvaonline/posts/list/41404.html#256452 /hvaonline/posts/list/41404.html#256452 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256465 /hvaonline/posts/list/41404.html#256465 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

vikjava wrote:
Vụ STL chúng ta khuyên nên vào trang chủ download các phần mềm. Giờ vào trang chủ cũng bị dính chưởng :| . Có khi nào là của mấy bác STL nữa không ta :-S . Có lẽ nên thông báo rộng rãi cho cộng đồng, đồng thời tổ chức một chầu nhậu cho anh em RCE có sức làm việc B-)  
Có anh chị em nào ở HVA quen anh Phạm Kim Long không, em tình nguyện làm malware forensics miễn phí cho máy tính của anh ấy. Không loại trừ khả năng với tình trạng virus stl tràn lan khắp nơi hiện nay, anh Phạm Kim Long chẳng may đã đăng nhập tài khoản ở một trong những máy tính nằm trong mạng bot của stl. Anh Phạm Kim Long nếu đọc được bài viết này có thể liên lạc em qua email:
, em sẽ giúp anh thực hiện malware forensics trên máy tính, truy tìm nguồn gốc và sự hiện diện virus. Về điều tra, audit và bảo mật website http://unikey.org/ , anh cũng có thể tìm đến CMC InfoSec hoặc nhờ ban quản trị HVA tư vấn riêng.]]>
/hvaonline/posts/list/41404.html#256467 /hvaonline/posts/list/41404.html#256467 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256468 /hvaonline/posts/list/41404.html#256468 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256470 /hvaonline/posts/list/41404.html#256470 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

Ky0 wrote:

vikjava wrote:
Làm luôn một thể cho tiện :*- anh em RCE báo danh :x - Ky0 -  
 
Rút kinh nghiệm, anh em RCE đừng báo danh công cộng. Nếu thích tham gia, xin vui lòng PM đến tớ.]]>
/hvaonline/posts/list/41404.html#256471 /hvaonline/posts/list/41404.html#256471 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

TQN wrote:
Em xin tuyên bố: chính danh code của stl. Code quá quen rồi. . 
Đụng tới STL nữa ah anh, ớn thế #:S . Trước mắt nên thông báo trên tất cả các kênh như status Yahoo, facebook, forum ... @Ky0: Báo danh làm gì chú, anh em RCE thì biết có anh TQN và anh conmale thôi mà đã thấy 2 ảnh bị "hành" rùi -:-) . Chú hay show hàng tự sướng có ngày chết ah nha]]>
/hvaonline/posts/list/41404.html#256475 /hvaonline/posts/list/41404.html#256475 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256476 /hvaonline/posts/list/41404.html#256476 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

conmale wrote:

Ky0 wrote:

vikjava wrote:
Làm luôn một thể cho tiện :*- anh em RCE báo danh :x - Ky0 -  
 
Rút kinh nghiệm, anh em RCE đừng báo danh công cộng. Nếu thích tham gia, xin vui lòng PM đến tớ. 
Anh conmale lập mailing list private luôn đi anh, cho email em vào luôn anh nhé ;) .]]>
/hvaonline/posts/list/41404.html#256481 /hvaonline/posts/list/41404.html#256481 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

bolzano_1989 wrote:

conmale wrote:

Ky0 wrote:

vikjava wrote:
Làm luôn một thể cho tiện :*- anh em RCE báo danh :x - Ky0 -  
 
Rút kinh nghiệm, anh em RCE đừng báo danh công cộng. Nếu thích tham gia, xin vui lòng PM đến tớ. 
Anh conmale lập mailing list private luôn đi anh, cho email em vào luôn anh nhé ;) . 
OK em, anh sẽ lập mailing list với email của những thành viên dùng để đăng ký sinh hoạt trên HVA tham gia trong việc phân tích malware. Sẽ gởi chung 1 email trên mailing list sau khi hoàn tất danh sách.]]>
/hvaonline/posts/list/41404.html#256482 /hvaonline/posts/list/41404.html#256482 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256483 /hvaonline/posts/list/41404.html#256483 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát Anh TQN Extract được mấy file vậy anh ?. Sao em được có 1 file duy nhất là (30C.tmp) File này định dạng PE file (exe), gồm 5 section. Fast scan cho kết quả Microsoft Visual C++ v8.0  Edit: Sorry do em không để ý nên hỏi bậy quá, Anh nói Extact được 3 file em tưởng 3 file virus. Em xin đính chính lại gồm 3 file trong đó 1 file được lưu ở thư mục temp (file này 32 KB) của window, 1 file là file gốc của Unikey(UnikeyNT.exe) và 1 file còn lại nằm cùng thư mục với file bị nhúng virus file này có tên (UnikeyNT.exe.tmp) và được set thuộc tính ẩn. Sơ suất quá :^) ]]> /hvaonline/posts/list/41404.html#256486 /hvaonline/posts/list/41404.html#256486 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát Công cụ Kiểm tra Unikey của bạn có nhiễm STL Virus Đây là công cụ kiểm tra Phiên bản Unikey 4.0 RC 2 trên máy của bạn có bị nhiễm virus của bọn "Sinh Tử Lệnh" hay không Tải về phiên bản dành cho máy dùng Windows 32 bit: http://www.mediafire.com/?r0pvbvslksr2wg0 Checksum: 66d24e692b2b988d150a5bc0d39e84e7 Tải về phiên bản dành cho máy dùng Windows 64 bit (cập nhật sửa lỗi): http://www.mediafire.com/?q9uuutcfdjdseyy Checksum: e70a8f4747bcc106e87519bf84d4dd10 Cách dùng: Copy file CheckUnikeySTLVirus-32bit.exe vào thư mục chứa chương trình Unikey ( chỗ có chứa file UnikeyNT.exe ). Kích chạy file CheckUnikeySTLVirus-32bit.exe ( hoặc CheckUnikeySTLVirus-64bit.exe nếu chạy trên Windows 64bit ) Chương trình này được tôi viết bằng AutoIt, chức năng chính là so sánh Checksum của phiên bản Unikey trên máy với phiên bản Unikey 4.0 RC2 thật của tác giả Phạm Kim Long. Source chương trình: http://www.mediafire.com/?97gdzldi6a3333n Chú ý: hiện chương trình mới chỉ check cho Phiên bản Unikey 4.0 RC 2 ( nhiều người dùng nhất ), các phiên bản khác hiện đang được cập nhật 8:11PM 1/3/2012: Đã cập nhật lại phiên bản dành cho 64 bit - sửa lỗi không vận hành được ------------------ Về việc có 2 Antivirus ít được biết tới là "Jiangmin" và "VIPRE" nhận diện lầm tool này là malware tôi xin trả lời như sau: Ngôn ngữ lập trình AutoIt khi chạy cần phải sử dụng một chương trình thông dịch tên là AutoItSC.bin chương trình này hoàn toàn an toàn nhưng bị 2 trình diệt virus kia hiểu lầm là malware. Mọi người có thể tham khảo thêm về vấn đề này tại http://www.autoitscript.com/forum ------------------------------- Hiện các anh em bên CMC Infosec đã cung cấp công cụ diệt con stl malware này Tải về tại đây: http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip ]]> /hvaonline/posts/list/41404.html#256487 /hvaonline/posts/list/41404.html#256487 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

conmale wrote:
OK em, anh sẽ lập mailing list với email của những thành viên dùng để đăng ký sinh hoạt trên HVA tham gia trong việc phân tích malware. Sẽ gởi chung 1 email trên mailing list sau khi hoàn tất danh sách. 
Lần này hoạt động bí mật rồi :( Nhưng mong là sau khi kết thúc sẽ có tường thuật. Bí mật lại hay vì bọn STL không biết để đối phó như những lần trước.

phanledaivuong wrote:
Chuyển sang Ubuntu dùng thôi. Mình chưa thích có bầu :-( Sang ubuntu có em Ibus triệt sản rồi ko sợ :| 
Tưởng sống chung với lũ :-)

xnohat wrote:
Công cụ Kiểm tra Unikey của bạn có nhiễm STL Virus Đây là công cụ kiểm tra Phiên bản Unikey 4.0 RC 2 trên máy của bạn có bị nhiễm virus của bọn "Sinh Tử Lệnh" hay không Tải về phiên bản dành cho máy dùng Windows 32 bit: http://www.mediafire.com/?r0pvbvslksr2wg0 Checksum: 66d24e692b2b988d150a5bc0d39e84e7  
Như thế này là sao nhỉ? https://www.virustotal.com/file/edf259ea09aa2fdf5ac9147f8ab6a836b0fdd5e6cb807183f8efc94c5b2637fe/analysis/ https://www.virustotal.com/file/55ee0c84269d1c730eadba6e76263046804edb6ee1167e99c3b416c0952ef5f8/analysis/1330604004/]]>
/hvaonline/posts/list/41404.html#256490 /hvaonline/posts/list/41404.html#256490 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

xnohat wrote:
Công cụ Kiểm tra Unikey của bạn có nhiễm STL Virus Đây là công cụ kiểm tra Phiên bản Unikey 4.0 RC 2 trên máy của bạn có bị nhiễm virus của bọn "Sinh Tử Lệnh" hay không Tải về phiên bản dành cho máy dùng Windows 32 bit: http://www.mediafire.com/?r0pvbvslksr2wg0 Checksum: 66d24e692b2b988d150a5bc0d39e84e7 Tải về phiên bản dành cho máy dùng Windows 64 bit: http://www.mediafire.com/?nvb2qagil95526x Checksum: e70a8f4747bcc106e87519bf84d4dd10 Cách dùng: Copy file CheckUnikeySTLVirus-32bit.exe vào thư mục chứa chương trình Unikey ( chỗ có chứa file UnikeyNT.exe ). Kích chạy file CheckUnikeySTLVirus-32bit.exe ( hoặc CheckUnikeySTLVirus-64bit.exe nếu chạy trên Windows 64bit ) Chương trình này được tôi viết bằng AutoIt, chức năng chính là so sánh Checksum của phiên bản Unikey trên máy với phiên bản Unikey 4.0 RC2 thật của tác giả Phạm Kim Long. Source chương trình: http://www.mediafire.com/?97gdzldi6a3333n  
Kết quả sau khi kiểm tra bằng chương trình anh xnohat:
]]>
/hvaonline/posts/list/41404.html#256491 /hvaonline/posts/list/41404.html#256491 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

onelove27 wrote:
https://www.virustotal.com/file/55ee0c84269d1c730eadba6e76263046804edb6ee1167e99c3b416c0952ef5f8/analysis/1330604004/ 
Một chương trình diệt virus vô danh nào đó VIPRE Trojan.Win32.Generic.pak!cobra Nhận diện nhầm AutoIt là trojan]]>
/hvaonline/posts/list/41404.html#256492 /hvaonline/posts/list/41404.html#256492 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256493 /hvaonline/posts/list/41404.html#256493 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

xnohat wrote:

onelove27 wrote:
https://www.virustotal.com/file/55ee0c84269d1c730eadba6e76263046804edb6ee1167e99c3b416c0952ef5f8/analysis/1330604004/ 
Một chương trình diệt virus vô danh nào đó VIPRE Trojan.Win32.Generic.pak!cobra Nhận diện nhầm AutoIt là trojan 
Mình nghĩ nên hướng dẫn mọi người dùng 1 chương trình nào đó như HashCalc để kiểm chứng file UnikeyNT.exe Nếu không thì nên code cách khác để không gây hiểu nhầm. Vì xnohat là mod hva nên cẩn trọng vẫn hơn.]]>
/hvaonline/posts/list/41404.html#256494 /hvaonline/posts/list/41404.html#256494 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256495 /hvaonline/posts/list/41404.html#256495 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256498 /hvaonline/posts/list/41404.html#256498 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

songsuat wrote:
@xnohat 64 không dùng được file đó, mong anh fix, cảm ơn http://vozforums.com/showpost.php?p=44720773&postcount=8 http://vozforums.com/showpost.php?p=44720820&postcount=10 
Đã sửa lỗi bản 64 bit ]]>
/hvaonline/posts/list/41404.html#256499 /hvaonline/posts/list/41404.html#256499 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

onelove27 wrote:

xnohat wrote:

onelove27 wrote:
https://www.virustotal.com/file/55ee0c84269d1c730eadba6e76263046804edb6ee1167e99c3b416c0952ef5f8/analysis/1330604004/ 
Một chương trình diệt virus vô danh nào đó VIPRE Trojan.Win32.Generic.pak!cobra Nhận diện nhầm AutoIt là trojan 
Mình nghĩ nên hướng dẫn mọi người dùng 1 chương trình nào đó như HashCalc để kiểm chứng file UnikeyNT.exe Nếu không thì nên code cách khác để không gây hiểu nhầm. Vì xnohat là mod hva nên cẩn trọng vẫn hơn. 
Kinh nghiệm từ lần stl cài mèo què lần trước,các hướng dẫn kiểu phức tạp như vậy, người dùng thông thường sẽ gặp nhiều rắc rối, do đó tốt nhất là làm luôn dùm họ :) Tôi đã cung cấp kèm cả source, nếu bồ có thể rất mong bồ giúp tôi viết một chương trình khác phù hợp hơn :) ]]>
/hvaonline/posts/list/41404.html#256500 /hvaonline/posts/list/41404.html#256500 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41381.html#256320 Có bác còn bảo là có phiên bản Unikey mới :) ]]> /hvaonline/posts/list/41404.html#256509 /hvaonline/posts/list/41404.html#256509 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256532 /hvaonline/posts/list/41404.html#256532 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256533 /hvaonline/posts/list/41404.html#256533 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256537 /hvaonline/posts/list/41404.html#256537 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256540 /hvaonline/posts/list/41404.html#256540 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát xnohat thì được thông báo là đã nhiễm virus của stl, tớ đã thử debug và extract ra nhưng không thấy có tập tin nào lạ. Bạn nào có kinh nghiệm có thể kiểm tra dùm tớ được không ? http://www.mediafire.com/?060ym0qc59f91iw MD5: Code:
Unikey.exe - 6710A40E13226F1E41181D1D0462DFAC
UKHook40.dll - 263F34ABE52CC36F112DB4AD2FC53A05
]]>
/hvaonline/posts/list/41404.html#256543 /hvaonline/posts/list/41404.html#256543 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

TQN wrote:
Em có cảm giác là lạ, vụ này xảy ra có liên quan gì đó đến vụ BKAV. Lôi kéo bớt dư luận qua đây à. Cho chìm xuồng bên đó à ? Ai cũng biết mấy anh coder BKAV toàn code = VC++ không à ? Nói thật thời gian này em không có nhiều thời gian ngồi máy, mong các anh em RCE khác của HVA ta ra tay, đập cho nát đầu cái đám stl này. Bây giờ còn đòi sống lại, cài trojan vào các máy để tìm hacker à ? Và em cũng dám chắc, vụ này, Unikey trang chủ bị dính trojan, đám BKAV sẽ im phăng phắc. Nhục quá đi mất !? 
Anh nhận định cảm tính rồi. Lúc em phát hiện cái unjkey có xem qua về ngày tháng liên quan thì có nhớ là trong khoảng tháng 1 năm 2012. Giờ thì bị xoá mất rồi. Để em tìm lại cache google xem còn không. ================================ Thông tin về ngày unjkey được up lên sourceforge.net: Cache google: http://webcache.googleusercontent.com/search?q=cache:GOn2T7CIq0UJ:sourceforge.net/projects/unjkey/+site:sourceforge.net+%22unjkey%22&cd=3&hl=vi&ct=clnk&gl=vn Last Update 2012-01-30 Registered 2012-01-17 Như vậy là trước ngày 2/2 (ngày phát hiện webscan bị hack, vụ hack forum là 14/02) khá là lâu.]]>
/hvaonline/posts/list/41404.html#256546 /hvaonline/posts/list/41404.html#256546 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát Code:
http://unikey.vn/vietnam/
Mình vẫn giữ quan điểm mọi người không nên tải phần mềm Unikey từ những nguồn không được kiểm chứng như thế này.]]>
/hvaonline/posts/list/41404.html#256553 /hvaonline/posts/list/41404.html#256553 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

xnohat wrote:
Công cụ Kiểm tra Unikey của bạn có nhiễm STL Virus Đây là công cụ kiểm tra Phiên bản Unikey 4.0 RC 2 trên máy của bạn có bị nhiễm virus của bọn "Sinh Tử Lệnh" hay không Tải về phiên bản dành cho máy dùng Windows 32 bit: http://www.mediafire.com/?r0pvbvslksr2wg0 Checksum: 66d24e692b2b988d150a5bc0d39e84e7 Tải về phiên bản dành cho máy dùng Windows 64 bit (cập nhật sửa lỗi): http://www.mediafire.com/?q9uuutcfdjdseyy Checksum: e70a8f4747bcc106e87519bf84d4dd10 Cách dùng: Copy file CheckUnikeySTLVirus-32bit.exe vào thư mục chứa chương trình Unikey ( chỗ có chứa file UnikeyNT.exe ). Kích chạy file CheckUnikeySTLVirus-32bit.exe ( hoặc CheckUnikeySTLVirus-64bit.exe nếu chạy trên Windows 64bit ) Chương trình này được tôi viết bằng AutoIt, chức năng chính là so sánh Checksum của phiên bản Unikey trên máy với phiên bản Unikey 4.0 RC2 thật của tác giả Phạm Kim Long. Source chương trình: http://www.mediafire.com/?97gdzldi6a3333n Chú ý: hiện chương trình mới chỉ check cho Phiên bản Unikey 4.0 RC 2 ( nhiều người dùng nhất ), các phiên bản khác hiện đang được cập nhật 8:11PM 1/3/2012: Đã cập nhật lại phiên bản dành cho 64 bit - sửa lỗi không vận hành được ------------------ Về việc có 2 Antivirus ít được biết tới là "Jiangmin" và "VIPRE" nhận diện lầm tool này là malware tôi xin trả lời như sau: Ngôn ngữ lập trình AutoIt khi chạy cần phải sử dụng một chương trình thông dịch tên là AutoItSC.bin chương trình này hoàn toàn an toàn nhưng bị 2 trình diệt virus kia hiểu lầm là malware. Mọi người có thể tham khảo thêm về vấn đề này tại http://www.autoitscript.com/forum  
Em chạy CheckUnikeySTLVirus-32bit bị lỗi Stop Working Code:
Problem signature:
  Problem Event Name:	BEX
  Application Name:	CheckUnikeySTLVirus-32bit.exe
  Application Version:	1.1.0.0
  Application Timestamp:	4f25baec
  Fault Module Name:	StackHash_0a9e
  Fault Module Version:	0.0.0.0
  Fault Module Timestamp:	00000000
  Exception Offset:	01bb84b6
  Exception Code:	c0000005
  Exception Data:	00000008
  OS Version:	6.1.7601.2.1.0.256.1
  Locale ID:	1066
  Additional Information 1:	0a9e
  Additional Information 2:	0a9e372d3b4ad19135b953a78882e789
  Additional Information 3:	0a9e
  Additional Information 4:	0a9e372d3b4ad19135b953a78882e789

Read our privacy statement online:
  http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0409

If the online privacy statement is not available, please read our privacy statement offline:
  C:\Windows\system32\en-US\erofflps.txt
]]>
/hvaonline/posts/list/41404.html#256559 /hvaonline/posts/list/41404.html#256559 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

bolzano_1989 wrote:
Mình có liên lạc anh Phạm Kim Long và anh ấy đã xác nhận trang web sau không phải của anh ấy: Bộ gõ tiếng Việt Unikey Code:
http://unikey.vn/vietnam/
Mình vẫn giữ quan điểm mọi người không nên tải phần mềm Unikey từ những nguồn không được kiểm chứng như thế này. 
trang trên khi download, nó trỏ về trang http://vietnam-unikey.googlecode.com ? nếu RCE nó có "anh em" với unjkey giả kia thì có lấy được thông tin của người đăng kí googlecode không anh ?]]>
/hvaonline/posts/list/41404.html#256562 /hvaonline/posts/list/41404.html#256562 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

bolzano_1989 wrote:
Mình có liên lạc anh Phạm Kim Long và anh ấy đã xác nhận trang web sau không phải của anh ấy: Bộ gõ tiếng Việt Unikey Code:
http://unikey.vn/vietnam/
Mình vẫn giữ quan điểm mọi người không nên tải phần mềm Unikey từ những nguồn không được kiểm chứng như thế này. 
Thông tin về tên miền: unikey.vn Ngày kích hoạt: 20/03/2009 Ngày hết hạn: 20/03/2013 Tên chủ thể sử dụng: Ông Đào Duy Phong Quản lý tại Nhà đăng ký: Công ty TNHH PA Việt Nam Máy chủ DNS chuyển giao: ns2008.nhanhoa.com.vn|210.245.80.211 ns2009.nhanhoa.com.vn|210.245.80.213 Cũng may tên miền .vn bắt buộc phải sử dụng info thật và không có chế độ private =))]]>
/hvaonline/posts/list/41404.html#256563 /hvaonline/posts/list/41404.html#256563 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

.lht. wrote:

bolzano_1989 wrote:
Mình có liên lạc anh Phạm Kim Long và anh ấy đã xác nhận trang web sau không phải của anh ấy: Bộ gõ tiếng Việt Unikey Code:
http://unikey.vn/vietnam/
Mình vẫn giữ quan điểm mọi người không nên tải phần mềm Unikey từ những nguồn không được kiểm chứng như thế này. 
Thông tin về tên miền: unikey.vn Ngày kích hoạt: 20/03/2009 Ngày hết hạn: 20/03/2013 Tên chủ thể sử dụng: Ông Đào Duy Phong Quản lý tại Nhà đăng ký: Công ty TNHH PA Việt Nam Máy chủ DNS chuyển giao: ns2008.nhanhoa.com.vn|210.245.80.211 ns2009.nhanhoa.com.vn|210.245.80.213 Cũng may tên miền .vn bắt buộc phải sử dụng info thật và không có chế độ private =)) 
website unikey.org là của anh Phạm Kim Long, nhưng đường dẫn tới link downloads là của người khác, em thấy vấn đề là nó downloads từ nguồn nào chứ không phải ai đang đứng tên cho site đó anh ah :D]]>
/hvaonline/posts/list/41404.html#256565 /hvaonline/posts/list/41404.html#256565 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

Ngo_Huy wrote:

bolzano_1989 wrote:
Mình có liên lạc anh Phạm Kim Long và anh ấy đã xác nhận trang web sau không phải của anh ấy: Bộ gõ tiếng Việt Unikey Code:
http://unikey.vn/vietnam/
Mình vẫn giữ quan điểm mọi người không nên tải phần mềm Unikey từ những nguồn không được kiểm chứng như thế này. 
trang trên khi download, nó trỏ về trang http://vietnam-unikey.googlecode.com ? nếu RCE nó có "anh em" với unjkey giả kia thì có lấy được thông tin của người đăng kí googlecode không anh ? 
Thật ra có thể claim để đòi source project này. Vì nó dùng GPL3 trên giấy phép mà. Mình chưa đọc kỹ mấy policy của Google Code nhưng không biết redistribute kiểu này có bị cấm hay không. Tuy nhiêu nếu không có mục đích hay ý đồ xấu thì cũng nên khuyến khích theo tinh thần FOSS. Tuy nhiên bác Long dư sức có khả năng quan hệ để đòi lấy tên miền .vn này. Đối với cơ quan nhà nước VN thì xài luật rừng dễ :D.]]>
/hvaonline/posts/list/41404.html#256570 /hvaonline/posts/list/41404.html#256570 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát https://www.virustotal.com/file/b927b2dbdf7a727e88a450c8a7b7af270f1960a65b25c6af57343d196db97a80/analysis/1330651418/ Check bằng tool của xnohat cũng báo là dính chấu, mẫu ở đây : http://www.mediafire.com/?gphvr0acs92a74f Pass : hvaonline Ko biết tìm đâu bản sạch bây giờ nhỉ :( ]]> /hvaonline/posts/list/41404.html#256571 /hvaonline/posts/list/41404.html#256571 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256574 /hvaonline/posts/list/41404.html#256574 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256575 /hvaonline/posts/list/41404.html#256575 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát
]]>
/hvaonline/posts/list/41404.html#256576 /hvaonline/posts/list/41404.html#256576 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256595 /hvaonline/posts/list/41404.html#256595 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256604 /hvaonline/posts/list/41404.html#256604 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

afterlastangel wrote:

Ngo_Huy wrote:

bolzano_1989 wrote:
Mình có liên lạc anh Phạm Kim Long và anh ấy đã xác nhận trang web sau không phải của anh ấy: Bộ gõ tiếng Việt Unikey Code:
http://unikey.vn/vietnam/
Mình vẫn giữ quan điểm mọi người không nên tải phần mềm Unikey từ những nguồn không được kiểm chứng như thế này. 
trang trên khi download, nó trỏ về trang http://vietnam-unikey.googlecode.com ? nếu RCE nó có "anh em" với unjkey giả kia thì có lấy được thông tin của người đăng kí googlecode không anh ? 
Thật ra có thể claim để đòi source project này. Vì nó dùng GPL3 trên giấy phép mà. Mình chưa đọc kỹ mấy policy của Google Code nhưng không biết redistribute kiểu này có bị cấm hay không. Tuy nhiêu nếu không có mục đích hay ý đồ xấu thì cũng nên khuyến khích theo tinh thần FOSS. Tuy nhiên bác Long dư sức có khả năng quan hệ để đòi lấy tên miền .vn này. Đối với cơ quan nhà nước VN thì xài luật rừng dễ :D. 
vấn đề là nó downloads về là file exe anh ah :P]]>
/hvaonline/posts/list/41404.html#256616 /hvaonline/posts/list/41404.html#256616 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát
]]>
/hvaonline/posts/list/41404.html#256620 /hvaonline/posts/list/41404.html#256620 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256625 /hvaonline/posts/list/41404.html#256625 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát Tác giả Unikey xin lỗi vì website bị hack dẫn tới phần mềm nhiễm độc | ICTNews http://ictnews.vn/home/Bao-mat/19/Tac-gia-Unikey-xin-loi-vi-website-bi-hack-dan%C2%A0toi-phan-mem%C2%A0nhiem-doc/100904/index.ict
ICTnews - Anh Phạm Kim Long, tác giả phần mềm Unikey đã xác nhận thông tin website http://unikey.org đã bị hacker kiểm soát và dẫn đến đường link có phần mềm đã bị chèn mã độc. Trao đổi với phóng viên ICTnews, anh Long cho biết, những người đã tải phần mềm từ unikey.org trong tháng 2 có thể bị ảnh hưởng. “Để đảm bảo chương trình sạch, mọi người hãy download từ kho chính của sf.net không bị hack ở địa chỉ http://sf.net/projects/unikey”, anh Long cho biết thêm. Ngoài ra, tác giả của phần mềm Unikey cũng gửi lời xin lỗi đến những người sử dụng vì đã để xảy ra việc này. Gần đây, website http://unikey.org của tác giả Phạm Kim Long đã bị kiểm soát bởi hacker cho đến rạng sáng ngày 1/3/2012. Tin tặc đã trỏ các đường dẫn tải phần mềm Unikey về một website được làm giả của tin tặc ở trang web phần mềm SourceForge.net. Các file của phần mềm Unikey được lưu giữ ở website này cho đến rạng sáng 1/3 đều chứa phần mềm độc hại trojan. 
Hiện tại mọi người yên tâm dùng phần mềm Unikey được tải ở địa chỉ sau nhé ;) : http://sf.net/projects/unikey]]>
/hvaonline/posts/list/41404.html#256627 /hvaonline/posts/list/41404.html#256627 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

itir5 wrote:
Kiểm tra MD5 của tập tin UnikeyNT.exe (x64) tải về ngày 18/02/2012 bằng HashCalc thì vẫn là hàng chuẩn.
 
Kiểm tra MD5 ở 1 đường dẫn nào đó mà bạn download về cũng chưa chứng minh được Unikey trên máy tính bạn không bị nhiểm malware vì trường hợp này hacker chiếm quyền điều khiển của tác giả phần mềm Unikey là bạn Phạm Kim Long, MD5 lúc này có thể do đám hacker chế biến ra. Cách tốt nhất nên quét nó bằng công cụ quét https://www.virustotal.com/]]>
/hvaonline/posts/list/41404.html#256628 /hvaonline/posts/list/41404.html#256628 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát Công cụ diệt STL malware trong Unikey Gửi đến các bạn thành viên diễn đàn HVAOnline và bạn đọc công cụ CMC.CleanFakeUnikey: CMC Information Security's Trojan-Downloader.Win32.FakeUnikey.1 removal tool Code:
http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip
Kết quả scan với VirusTotal: Code:
https://www.virustotal.com/file/5b351a784338bc27c01e23a2378aca9d4e5bf7ea2a37e00e4be9ba84f806743b/analysis/1330664621/
Với mọi góp ý về công cụ này (detection, removal, false positive,...), các bạn có thể gửi tại chủ đề này hoặc ở diễn đàn CMC InfoSec. Ngoài ra, xin các bạn vui lòng không upload công cụ này đến các trang chia sẻ file để chia sẻ cho mọi người do có thể bị kẻ xấu lợi dụng, chèn mã độc hại vào công cụ này. xnohat: thêm cái tiêu đề cho người dùng dễ kiếm]]>
/hvaonline/posts/list/41404.html#256629 /hvaonline/posts/list/41404.html#256629 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

bolzano_1989 wrote:
Công cụ diệt STL malware trong Unikey Gửi đến các bạn thành viên diễn đàn HVAOnline và bạn đọc công cụ CMC.CleanFakeUnikey: Code:
http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip
Kết quả scan với VirusTotal: Code:
https://www.virustotal.com/file/5b351a784338bc27c01e23a2378aca9d4e5bf7ea2a37e00e4be9ba84f806743b/analysis/1330664621/
Với mọi góp ý về công cụ này (detection, removal, false positive,...), các bạn có thể gửi tại chủ đề này hoặc ở diễn đàn CMC InfoSec. Ngoài ra, xin các bạn vui lòng không upload công cụ này đến các trang chia sẻ file để chia sẻ cho mọi người do có thể bị kẻ xấu lợi dụng, chèn mã độc hại vào công cụ này. xnohat: thêm cái tiêu đề cho người dùng dễ kiếm 
Chưa đc blozano ơi làm ơn kiểm tra lại , tool của B và Xnohat check không báo chứ virustotal báo đó ! Link đây : _https://www.virustotal.com/file/9b3610f28dafac29461bf4bd916f434887e6941e2d52c006829affb1f84f9b0e/analysis/]]>
/hvaonline/posts/list/41404.html#256633 /hvaonline/posts/list/41404.html#256633 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

JFS wrote:

bolzano_1989 wrote:
Công cụ diệt STL malware trong Unikey Gửi đến các bạn thành viên diễn đàn HVAOnline và bạn đọc công cụ CMC.CleanFakeUnikey: Code:
http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip
Kết quả scan với VirusTotal: Code:
https://www.virustotal.com/file/5b351a784338bc27c01e23a2378aca9d4e5bf7ea2a37e00e4be9ba84f806743b/analysis/1330664621/
Với mọi góp ý về công cụ này (detection, removal, false positive,...), các bạn có thể gửi tại chủ đề này hoặc ở diễn đàn CMC InfoSec. Ngoài ra, xin các bạn vui lòng không upload công cụ này đến các trang chia sẻ file để chia sẻ cho mọi người do có thể bị kẻ xấu lợi dụng, chèn mã độc hại vào công cụ này. xnohat: thêm cái tiêu đề cho người dùng dễ kiếm 
Chưa đc blozano ơi làm ơn kiểm tra lại , tool của B và Xnohat check không báo chứ virustotal báo đó ! Link đây : _https://www.virustotal.com/file/9b3610f28dafac29461bf4bd916f434887e6941e2d52c006829affb1f84f9b0e/analysis/ 
Trong trường hợp của bạn, file đấy là file sạch. Kết quả scan với VirusTotal chỉ có thể được dùng để tham khảo thôi.]]>
/hvaonline/posts/list/41404.html#256634 /hvaonline/posts/list/41404.html#256634 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256636 /hvaonline/posts/list/41404.html#256636 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256637 /hvaonline/posts/list/41404.html#256637 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256638 /hvaonline/posts/list/41404.html#256638 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256640 /hvaonline/posts/list/41404.html#256640 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256645 /hvaonline/posts/list/41404.html#256645 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256646 /hvaonline/posts/list/41404.html#256646 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

Bamboo VN;469963 wrote:
SHA256: dcd9b1827b73cb59349c80a9b7ea819226c8a2fe1e30b56c2d5516dc33846f87 File name: BHome3562.exe Detection ratio: 5 / 43 Analysis date: 2012-03-02 07:05:57 UTC ( 1 phút ago ) https://www.virustotal.com/file/dcd9b1827b73cb59349c80a9b7ea819226c8a2fe1e30b56c2d5516dc33846f87/analysis/1330671957/ Hãi và lo lắng quá đi mất 

Bamboo VN;470028 wrote:
Có khi nào Bkav homepage bị hách cơ chèn Mã độc vào phần mềm BKAV giống Unikey bị hôm 01/03/2012 không các pác ? Không điều gì là không thể, cẩn thận vẫn hơn . Cảnh báo ae nhá :-" Database 4rum hình như đang bị lỗi, Edit bài post không đc ???
 

Bkav Labs #ID:526;470034 wrote:
Đây là chỉ hiện tượng các phần mềm diệt virus khác nhận nhầm file cài đặt của Bkav Home là virus. Theo như khuyến cáo của Microsoft thì bạn chỉ nên cài đặt một chương trình diệt virus trên một máy tính để tránh xảy ra xung đột. 
http://forum.bkav.com.vn/showthread.php?44730-Co-phai-Bkav-home-co-Trojan-&p=470028#post470028. Boo em xài nhiều trình Virus trên máy , thật là bó tay . Trojan.PWS.Gamania.origin is a very malicious item that designed to allow remote access to your computer to largely occupy precious system resource, trace your Internet habits to record/steal your personal information.

Bamboo VN;470057 wrote:
DrWeb báo có Trojan.PWS.Gamania.origin => BKAV có cài Troạn trong BKAV Home à pác ? 

Bkav Labs #ID:526;470062 wrote:
Như mình đã trả lời bạn ở trên: Đây chỉ là hiện tượng nhận nhầm giữa các phần mềm diệt virus. Vấn đề này đã được Bkav tiếp nhận và sẽ có biện pháp xử lý. 
]]>
/hvaonline/posts/list/41404.html#256649 /hvaonline/posts/list/41404.html#256649 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256651 /hvaonline/posts/list/41404.html#256651 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

shift9x wrote:

xnohat wrote:
Công cụ Kiểm tra Unikey của bạn có nhiễm STL Virus Đây là công cụ kiểm tra Phiên bản Unikey 4.0 RC 2 trên máy của bạn có bị nhiễm virus của bọn "Sinh Tử Lệnh" hay không Tải về phiên bản dành cho máy dùng Windows 32 bit: http://www.mediafire.com/?r0pvbvslksr2wg0 Checksum: 66d24e692b2b988d150a5bc0d39e84e7 Tải về phiên bản dành cho máy dùng Windows 64 bit: http://www.mediafire.com/?nvb2qagil95526x Checksum: e70a8f4747bcc106e87519bf84d4dd10 Cách dùng: Copy file CheckUnikeySTLVirus-32bit.exe vào thư mục chứa chương trình Unikey ( chỗ có chứa file UnikeyNT.exe ). Kích chạy file CheckUnikeySTLVirus-32bit.exe ( hoặc CheckUnikeySTLVirus-64bit.exe nếu chạy trên Windows 64bit ) Chương trình này được tôi viết bằng AutoIt, chức năng chính là so sánh Checksum của phiên bản Unikey trên máy với phiên bản Unikey 4.0 RC2 thật của tác giả Phạm Kim Long. Source chương trình: http://www.mediafire.com/?97gdzldi6a3333n  
Kết quả sau khi kiểm tra bằng chương trình anh xnohat:
 
Mình cũng dính chấu rùi, mà dùng bản beta 4.0 cài từ lâu rùi mà ta --------------------------- Bao dong !!! --------------------------- May ban da nhiem virus cua stl trong file UKHook40.dll vui long cap nhat chuong trinh diet virus cua ban hoac tai ve CMC Antivirus tai: http://www.cmcinfosec.com DEBUG Ma Hash: CA5ABB185A7DCE5C8CB9EDAA3765DCE2 --------------------------- OK --------------------------- Quyét bằng CMS mà lại náo thế này thì ý là sao Code:
REPORT - CMC INTERNET SECURITY
Generated by cmccore.exe on 02/03/2012 4:55:43 CH
Session started on: 02/03/2012 4:55:42 CH	 Total Scanning Time: 00:00:00
Scanned total 22 files and 3 folders	 0 files was FOUND to be infected
Scan for files in: "C:\Program Files\UniKey"	 Database 3341697 viruses
  
  
© CMC Information Security 2007-2012
]]>
/hvaonline/posts/list/41404.html#256658 /hvaonline/posts/list/41404.html#256658 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

Lion~King wrote:
Ai có link tải http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip với ko download được chắc bị ddos :( 
Hiện giờ mình tải được công cụ CMC Information Security's Trojan-Downloader.Win32.FakeUnikey.1 removal tool bình thường, bạn thử lại nhé ;) .]]>
/hvaonline/posts/list/41404.html#256663 /hvaonline/posts/list/41404.html#256663 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

thanhsara wrote:

shift9x wrote:

xnohat wrote:
Công cụ Kiểm tra Unikey của bạn có nhiễm STL Virus Đây là công cụ kiểm tra Phiên bản Unikey 4.0 RC 2 trên máy của bạn có bị nhiễm virus của bọn "Sinh Tử Lệnh" hay không Tải về phiên bản dành cho máy dùng Windows 32 bit: http://www.mediafire.com/?r0pvbvslksr2wg0 Checksum: 66d24e692b2b988d150a5bc0d39e84e7 Tải về phiên bản dành cho máy dùng Windows 64 bit: http://www.mediafire.com/?nvb2qagil95526x Checksum: e70a8f4747bcc106e87519bf84d4dd10 Cách dùng: Copy file CheckUnikeySTLVirus-32bit.exe vào thư mục chứa chương trình Unikey ( chỗ có chứa file UnikeyNT.exe ). Kích chạy file CheckUnikeySTLVirus-32bit.exe ( hoặc CheckUnikeySTLVirus-64bit.exe nếu chạy trên Windows 64bit ) Chương trình này được tôi viết bằng AutoIt, chức năng chính là so sánh Checksum của phiên bản Unikey trên máy với phiên bản Unikey 4.0 RC2 thật của tác giả Phạm Kim Long. Source chương trình: http://www.mediafire.com/?97gdzldi6a3333n  
Kết quả sau khi kiểm tra bằng chương trình anh xnohat:
 
Mình cũng dính chấu rùi, mà dùng bản beta 4.0 cài từ lâu rùi mà ta --------------------------- Bao dong !!! --------------------------- May ban da nhiem virus cua stl trong file UKHook40.dll vui long cap nhat chuong trinh diet virus cua ban hoac tai ve CMC Antivirus tai: http://www.cmcinfosec.com DEBUG Ma Hash: CA5ABB185A7DCE5C8CB9EDAA3765DCE2 --------------------------- OK --------------------------- Quyét bằng CMS mà lại náo thế này thì ý là sao Code:
REPORT - CMC INTERNET SECURITY
Generated by cmccore.exe on 02/03/2012 4:55:43 CH
Session started on: 02/03/2012 4:55:42 CH	 Total Scanning Time: 00:00:00
Scanned total 22 files and 3 folders	 0 files was FOUND to be infected
Scan for files in: "C:\Program Files\UniKey"	 Database 3341697 viruses
  
  
© CMC Information Security 2007-2012
 
Dựa trên thông tin mã hash mà công cụ của anh xnohat cung cấp thì trường hợp của bạn không sao cả, file đó là file sạch, do anh xnohat dựa trên một danh sách các file làm whitelist còn hạn chế nên đưa ra cảnh báo chưa chính xác thôi. CMC Internet Security cho kết quả quét như vậy là đúng rồi :).]]>
/hvaonline/posts/list/41404.html#256665 /hvaonline/posts/list/41404.html#256665 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

thanhsara wrote:

shift9x wrote:

xnohat wrote:
Công cụ Kiểm tra Unikey của bạn có nhiễm STL Virus Đây là công cụ kiểm tra Phiên bản Unikey 4.0 RC 2 trên máy của bạn có bị nhiễm virus của bọn "Sinh Tử Lệnh" hay không Tải về phiên bản dành cho máy dùng Windows 32 bit: http://www.mediafire.com/?r0pvbvslksr2wg0 Checksum: 66d24e692b2b988d150a5bc0d39e84e7 Tải về phiên bản dành cho máy dùng Windows 64 bit: http://www.mediafire.com/?nvb2qagil95526x Checksum: e70a8f4747bcc106e87519bf84d4dd10 Cách dùng: Copy file CheckUnikeySTLVirus-32bit.exe vào thư mục chứa chương trình Unikey ( chỗ có chứa file UnikeyNT.exe ). Kích chạy file CheckUnikeySTLVirus-32bit.exe ( hoặc CheckUnikeySTLVirus-64bit.exe nếu chạy trên Windows 64bit ) Chương trình này được tôi viết bằng AutoIt, chức năng chính là so sánh Checksum của phiên bản Unikey trên máy với phiên bản Unikey 4.0 RC2 thật của tác giả Phạm Kim Long. Source chương trình: http://www.mediafire.com/?97gdzldi6a3333n  
Kết quả sau khi kiểm tra bằng chương trình anh xnohat:
 
Mình cũng dính chấu rùi, mà dùng bản beta 4.0 cài từ lâu rùi mà ta --------------------------- Bao dong !!! --------------------------- May ban da nhiem virus cua stl trong file UKHook40.dll vui long cap nhat chuong trinh diet virus cua ban hoac tai ve CMC Antivirus tai: http://www.cmcinfosec.com DEBUG Ma Hash: CA5ABB185A7DCE5C8CB9EDAA3765DCE2 --------------------------- OK --------------------------- Quyét bằng CMS mà lại náo thế này thì ý là sao Code:
REPORT - CMC INTERNET SECURITY
Generated by cmccore.exe on 02/03/2012 4:55:43 CH
Session started on: 02/03/2012 4:55:42 CH	 Total Scanning Time: 00:00:00
Scanned total 22 files and 3 folders	 0 files was FOUND to be infected
Scan for files in: "C:\Program Files\UniKey"	 Database 3341697 viruses
  
  
© CMC Information Security 2007-2012
 
Công cụ trên chỉ dùng để check các Unikey 4.0 RC 2 tải về trong 2 tháng gần đây. Bản Unikey Beta dĩ nhiên là khác hash nên bị nhận diện lầm Để chắc ăn kiểm tra lại bằng http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip Nếu Tool CMC.CleanFakeUnikey.zip báo máy bạn sạch thì bạn có thể an tâm :D P/s: vụ này phải nói nhờ CMC mà chúng ta dẹp sớm được lũ stl manh nha làm loạn lại :D]]>
/hvaonline/posts/list/41404.html#256666 /hvaonline/posts/list/41404.html#256666 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát Đã trị được mã độc chèn trong phần mềm Unikey - PC World VN http://www.pcworld.com.vn/articles/chuyen-muc/an-toan-thong-tin/2012/03/1230803/da-tri-duoc-ma-doc-chen-trong-phan-mem-unikey/ ND Hãng bảo mật CMC InfoSec đã đưa ra bản cập nhật và phát hành công cụ loại trừ mã độc do hacker chèn trong phần mềm Unikey và đưa lên trang unikey.org sau khi nắm quyền kiểm soát trang này. Mã độc này được CMC InfoSec đặt tên là Trojan-Downloader.Win32.FakeUnikey.1. Sau khi cài đặt thành công, mã độc sẽ cài đặt dịch vụ vào máy người dùng, sau đó tải thêm các mã độc khác và biến máy tính bị lây nhiễm trở thành máy tính thuộc mạng máy tính ma (botnet) dưới sự kiểm soát của hacker.
Công cụ diệt mã độc chèn trên Unikey. Ông Nguyễn Hoàng Giang - CisLab - cho biết "ít nhất malware đã được đưa lên mạng từ 23/1/2012 hoặc có thể là trước đó, số lượng người dùng bị lừa tải phần mềm Unikey có chứa mã độc là rất lớn". Mã độc này được phát tán qua việc chèn mã độc vào phần mềm Unikey sau khi chiếm quyền kiểm sát hoàn toàn website unikey.org trong những tháng đầu năm 2012. Tin tặc đã trỏ các đường dẫn tải phần mềm Unikey về một website được làm giả của tin tặc ở trang web phần mềm SourceForge.net. Các file của phần mềm Unikey trên website này đều chứa phần mềm độc hại trojan. Tác giả Unikey - Phạm Kim Long cho biết, trang web http://unikey.vn/vietnam/ cũng là giả mạo. Để đảm bảo chương trình sạch, mọi người hãy download bộ cài Unikey từ kho chính của sf.net không bị hack ở địa chỉ http://sf.net/projects/unikey . Trojan-Downloader.Win32.FakeUnikey.1, đã được CMC InfoSec cập nhật vào cơ sở dữ liệu của CMC Anvirus/CMC Internet Security. Người dùng có thể download bộ cài phần mềm tại trang chủ của hãng: www.cmcinfosec.com, hoặc download công cụ tại: http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip . Tin tức từ các báo khác: Đã trị được mã độc giả dạng phần mềm Unikey http://hanoimoi.com.vn/newsdetail/Cong-nghe/540444/%C4%91a-tri-duoc-ma-doc-gia-dang-phan-mem-unikey.htm VietNamNet - Website Unikey bị hack, cài lén virus | Website Unikey bi hack, cai len virus http://vietnamnet.vn/vn/cong-nghe-thong-tin-vien-thong/62493/website-unikey-bi-hack--cai-len-virus.html Đã có công cụ kiểm tra và "trị" bản Unikey dính mã độc | ICTPress http://ictpress.vn/thoi-su-ict/da-co-cong-cu-tri-ban-unikey-dinh-ma-doc Đã trị được mã độc chèn trên Unikey | ICTNews http://ictnews.vn/home/Bao-mat/19/Da-tri-duoc-ma-doc-chen-tren-Unikey/100923/index.ict Đã có công cụ kiểm tra và “trị” bản Unikey dính mã độc - Thông tin công nghệ http://www.thongtincongnghe.com/article/33433 Bộ gõ tiếng Việt Unikey bị chèn mã độc hại - Sức mạnh số - Dân trí http://dantri.com.vn/c119/s119-570799/bo-go-tieng-viet-unikey-bi-chen-ma-doc-hai.htm Bộ gõ tiếng Việt Unikey bị chèn mã độc hại - XãLuận.com Tin Nóng http://www.xaluan.com/modules.php?name=News&file=article&sid=351962 ]]>
/hvaonline/posts/list/41404.html#256670 /hvaonline/posts/list/41404.html#256670 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

TQN wrote:
Em có cảm giác là lạ, vụ này xảy ra có liên quan gì đó đến vụ BKAV. Lôi kéo bớt dư luận qua đây à. Cho chìm xuồng bên đó à ? Ai cũng biết mấy anh coder BKAV toàn code = VC++ không à ? Nói thật thời gian này em không có nhiều thời gian ngồi máy, mong các anh em RCE khác của HVA ta ra tay, đập cho nát đầu cái đám stl này. Bây giờ còn đòi sống lại, cài trojan vào các máy để tìm hacker à ? Và em cũng dám chắc, vụ này, Unikey trang chủ bị dính trojan, đám BKAV sẽ im phăng phắc. Nhục quá đi mất !? 
Unikey của anh Long không nhiều tiền để thuê C50 điều tra anh à :D]]>
/hvaonline/posts/list/41404.html#256677 /hvaonline/posts/list/41404.html#256677 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

mv1098 wrote:

TQN wrote:
Em có cảm giác là lạ, vụ này xảy ra có liên quan gì đó đến vụ BKAV. Lôi kéo bớt dư luận qua đây à. Cho chìm xuồng bên đó à ? Ai cũng biết mấy anh coder BKAV toàn code = VC++ không à ? Nói thật thời gian này em không có nhiều thời gian ngồi máy, mong các anh em RCE khác của HVA ta ra tay, đập cho nát đầu cái đám stl này. Bây giờ còn đòi sống lại, cài trojan vào các máy để tìm hacker à ? Và em cũng dám chắc, vụ này, Unikey trang chủ bị dính trojan, đám BKAV sẽ im phăng phắc. Nhục quá đi mất !? 
Unikey của anh Long không nhiều tiền để thuê C50 điều tra anh à :D 
Quan trọng là điều tra rồi để làm gì. Điều tra được chắc gì tóm được. Mà tóm được rồi để làm gì. Nói chung vụ này thì chắc không cần C50 gì đó mà nhiều người cũng sẽ ra tay truy tìm.]]>
/hvaonline/posts/list/41404.html#256680 /hvaonline/posts/list/41404.html#256680 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256700 /hvaonline/posts/list/41404.html#256700 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát Bộ gõ Unikey bị nhúng mã độc, lây nhiễm lan rộng  - Nhịp Sống Số - Tuổi Trẻ Online http://nhipsongso.tuoitre.vn/Nhip-song-so/480307/Bo-go-Unikey-bi-nhung-ma-doc%C2%A0lay-nhiem-lan-rong%C2%A0.html TTO - Sau khi chiếm quyền điều khiển website Unikey.org, tin tặc đã thay đổi địa chỉ tải bộ gõ tiếng Việt Unikey sang một địa chỉ giả mạo. Hơn 23.000 người dùng đã bị lây nhiễm mã độc và con số tiếp tục tăng nhanh. Hack website, nhúng mã độc Ngày 1-3, thành viên bolzano_1989 từ diễn đàn Hacker Vietnam (HVA Online) đã cảnh báo về website Unikey.org bị hacker chiếm quyền kiểm soát và chuyển hướng tải bộ gõ tiếng Việt Unikey sang một trang giả mạo do hacker này tạo ra. Hacker đã rất tinh vi trong kỹ thuật đánh lừa các nạn nhân khiến họ không thể nào biết được mình đang truy cập vào một địa chỉ giả mạo gần giống với địa chỉ thật tại SourceForge.net, vô tư tải về bộ gõ Unikey đã có kèm mã độc. Cụ thể là hai địa chỉ: sourceforge.net/projects/unikey/ (thật) và sourceforge.net/projects/unjkey (giả), khác biệt ở chữ i và j.
Website Unikey.org bị chiếm quyền điều khiển và liên kết tải bộ gõ Unikey cũng bị đổi sang địa chỉ giả mạo sourceforge.net/projects/unjkey
Địa chỉ web giả mạo sourceforge.net/projects/unjkey, cung cấp bộ gõ Unikey có kèm mã độc Unikey là bộ gõ tiếng Việt mã nguồn mở do tác giả Phạm Kim Long phát triển và cung cấp miễn phí sử dụng từ website Unikey.org. Unikey là một trong những phần mềm hỗ trợ gõ tiếng Việt trên máy tính dùng Windows được sử dụng rộng rãi nhất, bởi các tính năng như nhỏ gọn, tiện dụng, linh hoạt và không cần cài đặt. Số lượt tải về mỗi ngày vào khoảng 3.000 lượt từ người dùng Việt khắp nơi trên thế giới (số liệu thống kê từ SourceForge, website cung cấp dịch vụ lưu trữ cho các phần mềm nguồn mở). Ngay sau khi phát hiện vụ việc, nhóm quản trị HVA Online đã tích cực liên hệ tác giả Phạm Kim Long để xử lý. Ngày 2-3, SourceForge đã chính thức xóa sổ trang giả mạo và tác giả Phạm Kim Long cũng đã lấy lại được quyền điều khiển website Unikey.org. Tuy vậy, hậu quả của vụ tấn công có mục đích này rất nghiêm trọng. Mối nguy hại rất lớn Theo trao đổi với Nhịp Sống Số, từ phân tích của nhóm thành viên HVA Online cho thấy có thể xâu chuỗi đợt tấn công này với các đợt tấn công tương tự vào nhiều website Việt Nam trong năm 2011. Với cùng cách thức tương tự, chiếm website, rải mã độc, một nhóm hacker đang thu thập thêm số lượng "máy tính ma" (zombie), bổ sung vào đội quân botnet, phục vụ các chiến dịch tấn công từ chối dịch vụ DDoS. "Khác với các đợt tấn công trước đây, đây là dạng tấn công vào nguồn, gần như chưa bao giờ xảy ra tại Việt Nam và cũng rất hiếm khi xảy ra trên thế giới. Qua đó cho thấy mức độ phức tạp của các đợt tấn công mới và năm 2012 sẽ đón nhận thêm nhiều cuộc tấn công tương tự", theo nhận định từ thành viên xnohat từ HVA Online. Sau khi phân tích mã nguồn, nhóm điều tra từ HVA Online cũng cho biết loại mã độc được nhúng vào bộ gõ Unikey có cấu trúc tương tự loại mã độc được phát hiện trong các phần mềm lậu được phát tán trên nhiều website hay diễn đàn tại Việt Nam. Một số phần mềm lậu được nhiều người ưa chuộng tải về là IDM (Internet Download Manager) cũng bị "dính" mã độc trên và "rất khó bị phát hiện". Mã độc chỉ là một module nhỏ đóng vai trò downloader, sau khi lây nhiễm vào hệ thống sẽ chịu trách nhiệm tải thêm các module gây hại khác về máy tính nạn nhân tùy thuộc chủ đích của chủ nhân. Trong năm 2011, các thành viên của HVA Online cũng phát hiện một số mã độc, tình nghi cùng một nhóm tội phạm phát tán, đã biến rất nhiều máy tính người dùng ở Việt Nam thành công cụ để tấn công DDoS vào các website có chủ đích. Thông tin ban đầu cho thấy tổ chức tội phạm này rất tinh vi và chuyên nghiệp. Hiện vẫn chưa thể truy vết được cụ thể. Đáng lo ngại hơn, hầu hết người dùng đã tải về bộ gõ Unikey có nhiễm mã độc trên sourceforge.net trong khoảng thời gian từ ngày 30-1 đến 2-3-2012 đều không biết máy tính của mình đã nhiễm mã độc. Hơn nữa, do cấu trúc phân mảnh phức tạp của loại mã độc mới này chưa được các chương trình anti-virus phổ biến hiện nay nhận diện nên chúng vẫn ung dung sống trên máy nạn nhân. Ngoài ra, bộ gõ Unikey nhiễm độc sẽ tiếp tục được phát tán một cách vô ý thông qua các chủ nhân của những website hay diễn đàn, họ đóng góp file đã tải về và đưa lên website của mình để những thành viên có thể tải về dùng. Trong khi đó, các kỹ thuật viên đã tải bộ Unikey nhiễm bẩn đưa chúng vào các phiên bản ghost để cài đặt nhanh nhiều máy tính (bản sao lưu Norton Ghost). Mức độ lây nhiễm sẽ phủ rộng hơn, phạm vi lan tỏa ở con số nhiều triệu máy tính. Cách diệt "mã độc Unikey" Công ty bảo mật CMC Infosec đã nhanh chóng đưa ra giải pháp loại bỏ mã độc "Unikey" này qua công cụ miễn phí có thể tải về tại đây ( http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip ). Các thành viên HVA Online cũng đang tích cực gửi các bản mẫu mã độc mới đến những hãng bảo mật lớn để bổ sung chúng vào danh sách nhận diện của các trình anti-virus. Bạn đọc cần lưu ý tải các phần mềm, tiện ích từ chính website của nhà cung cấp, không tải về từ các diễn đàn hay website cung cấp phần mềm lậu. Đại đa số chúng đều có nhúng mã độc nguy hại bên trong, có thể đánh cắp dữ liệu từ máy tính nạn nhân. Luôn cần sử dụng trình bảo mật anti-virus và cả tường lửa (firewall) khi thường xuyên dùng kết nối Internet. THANH TRỰC]]>
/hvaonline/posts/list/41404.html#256702 /hvaonline/posts/list/41404.html#256702 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát Mã độc "đồn trú" trên Unikey | Thanh Niên Online http://www.thanhnien.com.vn/pages/20120302/ma-doc-don-tru-tren-unikey.aspx 02/03/2012 15:16 (TNO) Công ty bảo mật CMC Infosec nhận định mã độc đã được tin tặc "cấy" vào trang chủ Unikey.org từ giữa tháng 1.2012 trước khi tiến hành phát tán rộng rãi và khẳng định hiện đã có công cụ độc lập để loại bỏ mối nguy hại này trên máy tính người dùng. Cụ thể, khi người dùng tải về bộ gõ Unikey từ trang chủ Unikey.org, thay vì nhận được một ứng dụng "sạch" thì thay vào đó là một ứng dụng giả mạo kèm mã độc (dạng trojan). Hay nói chính xác, tin tặc đã "chuyển tiếp" lệnh tải về của người dùng đến một trang web giả mạo phần mềm Unikey và cung cấp bản tải về là một phần mềm chứa mã độc. Trong thông cáo báo chí phát đi chiều 2.3 (một ngày sau khi sự cố liên quan đến Unikey được phát hiện), công ty CMC Infosec đã cung cấp một công cụ tải về miễn phí mà qua đó có thể loại bỏ mã độc này. Người dùng có thể tải về công cụ này từ địa chỉ http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip .
Giao diện công cụ quét mã độc trên Unikey của CMC Infosec - Ảnh do CMC cung cấp Trao đổi với phóng viên Thanh Niên Online, ông Võ Đỗ Thắng - Giám đốc trung tâm đào tạo an ninh mạng ATHENA - cho biết đây thực chất là một hình thức cấy trojan vào phần mềm, do đó khi người dùng tải về phần mềm (trong trường hợp này là Unikey) thì cũng sẽ tải về trojan. Khi phần mềm được cài vào máy tính, máy tính đương nhiên dính trojan. "Đây là một kỹ thuật đánh lừa người sử dụng. Máy tính nhiễm trojan sẽ bị điều khiển bởi tin tặc và điều này có thể gây hậu quả khôn lường", ông Thắng nhận định. An Huy]]>
/hvaonline/posts/list/41404.html#256703 /hvaonline/posts/list/41404.html#256703 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256708 /hvaonline/posts/list/41404.html#256708 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

covirut wrote:
Có mấy mẫu virus gửi các anh phân tích: http://share.vnn.vn/dl.php/5498113 pass: 123 và share code tool diệt cho những con gà mờ như em. hic bọn cẩu sinh tử lệnh dơ bẩn.  

TQN wrote:
Mẫu của covirut chỉ có file v1.db là malware. Nó chứa trong bụng (resource) một biến thể lạ của bộ BackupSvc hồi xưa. Extract ra, quét = KIS không phát hiện ra. 
anh tqn phân tích rồi sao không share code diệt bạn khốn stl đi cái v1.db thì có được anh avira phát hiện là TR/Drop.FrontDown.A mà gg chẳng thấy tin gì. chẳng biết cách diệt thế nào. hic. thế là mất hết pass với thông tin cá nhân với bọn cẩu stl rồi dạo này đang chát chit với 1 em nữa chứ em mà gặp được bọn cẩu stl em chém]]>
/hvaonline/posts/list/41404.html#256714 /hvaonline/posts/list/41404.html#256714 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/ Lưu ý: Mình chỉ nhận xem các file log cho các máy tính có triệu chứng nhiễm virus của stl rõ ràng. Các bạn cần tắt tất cả các trình duyệt web trên máy, sau đó dùng phần mềm TCPView, SmartSniff hay các chương trình tương tự để xác định máy tính của bạn có kết nối tự động đến một trong các website sau hay các website nào khác hay không:
1. http://danlambaovn.blogspot.com 2. http://www.aihuuphuyen.org 3. http://nguoiduatinkami.wordpress.com 4. http://vrvradio.com 5. http://aotrangoi.com 6. http://viettan.org 7. http://dangviettan.wordpress.com 8. http://radiochantroimoi.com 9. http://radiochantroimoi.wordpress.com 10. http://vietnamnet.vn 11.  
Nếu có thì khi gửi các file log cho mình, các bạn vui lòng ghi rõ website nào mà máy tính của bạn đang tự động kết nối đến vì mình chỉ kiểm tra cho các máy nào có dấu hiệu nhiễm virus của stl.]]>
/hvaonline/posts/list/41404.html#256726 /hvaonline/posts/list/41404.html#256726 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256727 /hvaonline/posts/list/41404.html#256727 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256728 /hvaonline/posts/list/41404.html#256728 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát http://www.vietnamplus.vn/Home/Co-thuoc-tri-ma-doc-do-hacker-cai-tren-Unikey/20123/128874.vnplus 03/03/2012 | 10:31:00 Ngày 3/3, Công ty cổ phần An ninh An toàn thông tin CMC (CMC InfoSec) cho biết, sau 24 giờ nhận được thông tin Unikey bị hacker chèn mã độc, đơn vị này đã xử lý, đưa ra bản cập nhật và phát hành công cụ loại trừ. Phía CMC InfoSec cho hay, loại virus này đã được hãng cập nhật vào cơ sở dữ liệu phần mềm diệt virus của hãng này (CMC Anvirus/CMC Internet Security). Người dùng có thể download bộ cài phần mềm tại www.cmcinfosec.com .
Công cụ diệt mã độc chèn trên Unikey.org của CMC InFosec. (Nguồn: CMC) Mã độc này được phát tán qua việc chèn mã độc vào phần mềm Unikey sau khi chiếm quyền kiểm sát hoàn toàn website unikey.org. Tin tặc đã trỏ các đường dẫn tải phần mềm Unikey về một website được làm giả của tin tặc ở trang web SourceForge.net. Các file của phần mềm Unikey trên website này đều chứa phần mềm độc hại trojan. Sau khi cài đặt thành công, mã độc này sẽ cài đặt dịch vụ vào máy người dùng, sau đó tải thêm các mã độc khác và biến máy tính bị lây nhiễm trở thành máy tính thuộc mạng máy tính ma dưới sự kiểm soát của hacker. Unikey là một trong những bộ gõ tiếng Việt được yêu thích. Mã độc này được hacker đưa lên mạng từ cuối tháng Một vừa qua và do đó số lượng người dùng bị lừa tải phần mềm Unikey có chứa mã độc có thể là rất lớn. Anh Phạm Kim Long, tác giả phần mềm Unikey cho biết, trang web http://unikey.vn/vietnam/ cũng là giả mạo. Để đảm bảo chương trình sạch, người dùng hãy download bộ cài Unikey ở địa chỉ http://sf.net/projects/unikey . Trung Hiền (Vietnam+)]]>
/hvaonline/posts/list/41404.html#256730 /hvaonline/posts/list/41404.html#256730 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256732 /hvaonline/posts/list/41404.html#256732 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

TQN wrote:
Sơ bộ vậy chứ chưa xong, covirut à. Thông cảm, không có đầu óc và thời gian nữa, sáng một chút, trưa một chút à. Em nên liên hệ bolzano để CMC update cái v1.db và đám đi kèm trong bụng. Cũng chưa có thời gian ngồi đồng phân tích cái đống fake unikey trên. Nhưng nhờ anh em CMC giải thích giúp, ngoài tính năn clean, delete fake unikey, tool của CMC có phát hiện và clean các mèo què đi kèm fake unikey hay không. Fake unikeys thường, luôn đi theo cách này: 1. User download fakeunikey.exe về. Run. 2. fakeunikey extract unikey thật ra %temp% và extract ra luôn các em bé đính kèm. 3. CreateProcess unikey thât trong temp và kích hoạt các em bé kia. 4. Đánh dấu next reboot, delete fake unikey, move unikey thật vào thư mục ban đầu or %program file%. Có nghĩa là hầu hết, sau lần run đầu tiên và reboot, fake unikey sẽ bị xoá đi, chỉ còn lại Unikey thật và các em bé được giấu trong hang cùng ngõ hẻm trong hệ thống Win-đâu.  

TQN wrote:
2 covirus: tụi nó có súng đấy em, đừng dại mà chơi dao. Né ra đi em ! Sau lần reboot, Từ fake Unikey ban đầu download về, các bạn vẫn có Unikey sạch, quét không ra gì cả. Nhưng máy các bạn đã được stl bonus "mèo què", dấu ở chổ khác. Xin chia buồn. Chỉ còn đợi CMC update và diệt cái đám bonus đi kèm thôi. 
Trojan-Downloader.Win32.FakeUnikey.1 removal tool của CMC InfoSec, scan và diệt fake Unikey và cả đám malware đi kèm theo (sau khi cài đặt fake Unikey) trong vụ Unikey.org này thôi anh. Các bản fake Unikey được phát tán qua các website, diễn đàn khác thì cần dùng CMC Antivirus/CMC Internet Secury quét toàn máy và cần anh em thu thập thêm thông tin, virus sample.]]>
/hvaonline/posts/list/41404.html#256736 /hvaonline/posts/list/41404.html#256736 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256758 /hvaonline/posts/list/41404.html#256758 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

covirut wrote:
sao khi gử mail cho bolzano_1989(at)cmclab.net không gửi đựoc? toàn bị trả về lỗi. 
Bạn gửi tin nhắn cho mình qua diễn đàn cũng được. Bạn cho mình biết thông báo lỗi hay chụp ảnh lỗi cho mình xem được chứ? Update: Mình đã nhận được email của bạn rồi nhé ;) .]]>
/hvaonline/posts/list/41404.html#256764 /hvaonline/posts/list/41404.html#256764 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát http://unikey.org/index.php#news March 1, 2012: Official announcement from Pham Kim Long
  • During February 2012, unikey.org had been modified by hackers. They changed the links for downloading unikey programs to a fake project in sourceforge.net. The fake programs contain trojan viruses as reported here and in several security communities (HVA, CMC InfoSec). We have restored unikey.org, and now all the links https://www.virustotal.com/file/232907a1f0871c518ce5b89db39a1f622c0511c4e00f99ff606db90efb6e25e4/analysis/) correctly point to our programs in http://sf.net/projects/unikey. For those who downloaded from unikey.org between Jan. 31 - 2012 and Feb. 29 - 2012, please remove them, and scan your computers using up-to-date anti virus programs. You can now safely download unikey programs from unikey.org. unikey.org is the only official site for UniKey Vietnamese Input Method. I am not responsible for any other web sites in the name of UniKey. Official UniKey programs are hosted at SourceForge at the address http://sf.net/projects/unikey. You can verify the programs you have using MD5 and SHA1 checksums from here ( http://sourceforge.net/projects/unikey/files/unikey-win/4.0%20RC2/ ).
UniKey - Vietnamese Keyboard for Windows and Linux - Bàn phím tiếng Việt cho Windows http://unikey.org/index.php?langset=vie Ngày 1/3/2012: Thông báo chính thức về việc web site unikey.org bị đột nhập
  • Thời gian vừa qua, unikey.org đã bị kẻ xấu đột nhập thay đổi đường link đến download các chương trình unikey. Đây là các chương trình chứa mã độc hại. Đến ngày 1/3/2012 website đã được khôi phục lại với các đường link đến chương trình chính thức không có mã độc hại. Với những ai đã download từ unikey.org trong thời gian từ 31/1/2012 đến 29/2/2012, xin hãy xóa các file đã download và dùng các chương trình diệt virus mới nhất, hay các công cụ từ một số cộng đồng security (HVA, CMC InfoSec) để kiểm tra lại máy. Sau đó download lại unikey từ unikey.org. UniKey chỉ có 1 website chính thức duy nhất tại unikey.org. Tác giả UniKey không chịu trách nhiệm về bất cứ website nào khác lấy danh nghĩa unikey. Các chương trình UniKey được lưu trữ tại http://sf.net/projects/unikey là các chương trình gốc, không chữa mã độc. Các bạn có thể đối chiếu mã MD5, SHA1 từ địa chỉ này ( http://sourceforge.net/projects/unikey/files/unikey-win/4.0%20RC2/ ). Tác giả UniKey gửi lời xin lỗi đến tất cả những người đã bị ảnh hưởng bởi sự cố này.
]]>
/hvaonline/posts/list/41404.html#256782 /hvaonline/posts/list/41404.html#256782 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256791 /hvaonline/posts/list/41404.html#256791 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát http://www.mediafire.com/?63872tg1nczu0gn ]]> /hvaonline/posts/list/41404.html#256807 /hvaonline/posts/list/41404.html#256807 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

enix wrote:
Bác bolzano_1989 cho em hỏi là CMC có thể quét các virus từ trước của STL ko, unikey em xài hiện nay vẫn ổn nhưng ko chắc các phần mềm crack khác như IDM có bị dính và lỡ click nhầm vào cái j đó. 
Nếu bạn theo dõi các chủ đề về đám virus nội của stl ở diễn đàn HVAOnline, bạn sẽ thấy khác với Bkav có tình trạng làm ngơ virus của nhóm hacker stl một thời gian dài với lí do nào đó của họ, CMC InfoSec không nhân nhượng với đám virus này, dù cho nguồn gốc của chúng có xuất phát từ bất cứ nơi nào, do tổ chức hay nhóm người nào viết ra. Mọi mẫu virus của nhóm hacker stl được thông báo đến các cộng đồng bảo mật đều được CMC InfoSec cập nhật trong thời gian sớm nhất có thể (thực tế là đã sớm hơn nhiều hãng antivirus nước ngoài), bạn có thể yên tâm về điều này. Điều này có được cũng là nhờ sự góp sức của các cộng đồng bảo mật như HVA, thu thập, thông báo và đóng góp các mẫu virus chưa được nhận diện. Tuy nhiên, một điều chắc chắn là còn nhiều mẫu virus của stl ngoài kia mà các hãng antivirus ngoại và nội đều chưa có mẫu và signature nhận diện, các bạn cần chú ý điều này và không quên việc kiểm tra máy tính, đóng góp mẫu virus cũng như thực hiện các nguyên tắc sử dụng máy tính an toàn và bảo mật được thu thập ở chủ đề sau: http://goo.gl/seQsx Với một hãng bảo mật thì sự an toàn và bảo mật thông tin, dữ liệu của người dùng phải được đặt lên trên hết, việc này không thể bị nhân nhượng bởi bất cứ lí do nào (Chẳng hạn, một hãng antivirus có thể tuyên bố là họ cần theo dõi virus thêm mà không cập nhật signature nhận diện virus kịp thời bảo vệ người dùng,...).]]>
/hvaonline/posts/list/41404.html#256815 /hvaonline/posts/list/41404.html#256815 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát http://nhipsongso.tuoitre.vn/Nhip-song-so/480307/Bo-go-Unikey-bi-nhung-ma-doc%C2%A0lay-nhiem-lan-rong%C2%A0.html]]> /hvaonline/posts/list/41404.html#256818 /hvaonline/posts/list/41404.html#256818 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát BackupSvc.txt BackupSvc.exe DbCompact.txt DbCompact.exe DbEntry1.idx DbEntry2.idx DbEntry3.idx _thumbs.db _desktop.ini   ]]> /hvaonline/posts/list/41404.html#256896 /hvaonline/posts/list/41404.html#256896 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát BackupSvc.exe DbEntry1.idx DbEntry2.idx DbEntry3.idx   mấy file này khoảng 9MB còn file _thums.db thì ngay trong folder unikey luôn. em đã submit file unikey và cả cái file zip chứa bộ unikey có mèo que chưa kích hoạt cho các av 2-3 ngày nay. vậy mà chiều nay em up đám backup, .idx kia lên virus total thì chỉ có dưới 10av nhận diện. đặc biệt up lên avast scan online thì nhận là clean trong khi trên virus total thì avast nhận ra mèo què. các av khác chưa submit mấy file .idx này. máy em dùng nis 2012 quét cũng không báo gì. hiện em xoá hết rồi. kiểu này khó mong chờ vào các av được. :( cập nhật thêm: tool của cmc không phát hiện ra mấy mèo què này. vì cậy những cao thủ có thẻ code file bat để kill đám mèo què này dựa rên những gì đã phân tích giúp dân đen thì tốt.]]> /hvaonline/posts/list/41404.html#256952 /hvaonline/posts/list/41404.html#256952 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256954 /hvaonline/posts/list/41404.html#256954 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát
Check lại thì do mình set Local Default là "Vietnam, Sai Gon - HCM". Tuy chưa hỏi lại Microsoft nhưng có thể thấy 1 điều là Trung Quốc đã xâm nhập rất sâu và ảnh hưởng rất sâu rộng. Bằng chứng rõ ràng là App bị declined vì một lý do cực kỳ vô lý như vậy. Trong khi đó thì người Việt tự đấu đá lẫn nhau. BKAV bị hacked thì C50 vào cuộc ầm ĩ, Vietnamnet bị DDOS thì im ru bà rù. Cài cắm đủ loại backdoor, virus lên máy lên máy người dùng để theo dõi. Nhìn Ấn Độ, Trung Quốc tràn qua các khu công nghệ cao ở Âu Châu, Mỹ rồi nhìn thanh niên Việt Nam suốt ngày "chém gió", "lót hóng", "ngưỡng mộ" và GATO trên diễn đàn, rồi lại đọc mấy topic như virus thế này thì biết quốc gia mạt vận rồi.]]>
/hvaonline/posts/list/41404.html#256984 /hvaonline/posts/list/41404.html#256984 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256987 /hvaonline/posts/list/41404.html#256987 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#256991 /hvaonline/posts/list/41404.html#256991 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

conmale wrote:
@ rongchaua: hì hì, chỉ mới nhìn bề nổi thôi mà rongchaua lo âu vậy thì khi nhìn đến bề chìm thì chắc... tiêu :-) . 
Nhưng cái đầu tiên mà dân chúng nhìn vào sẽ là cái bề nổi đấy anh conmale ah. Các bác ở trên thượng tầng nhìn sâu nhìn rộng, dân chúng ở dưới chưa với tới được mức đấy. Mà Rongchaua set default location là "Vietnam, Sai Gon - HCM" mà bị reject thì đúng là bó tay.com rồi...việc này chẳng nhỏ và bể nổi tí nào.]]>
/hvaonline/posts/list/41404.html#256992 /hvaonline/posts/list/41404.html#256992 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

covirut wrote:
đám mèo què này không biết cũ hay mới. hiện tại em tìm ngay trong môi trường win 7 thí ra folder "backuputility: có các file:
BackupSvc.exe DbEntry1.idx DbEntry2.idx DbEntry3.idx  
mấy file này khoảng 9MB còn file _thums.db thì ngay trong folder unikey luôn. em đã submit file unikey và cả cái file zip chứa bộ unikey có mèo que chưa kích hoạt cho các av 2-3 ngày nay. vậy mà chiều nay em up đám backup, .idx kia lên virus total thì chỉ có dưới 10av nhận diện. đặc biệt up lên avast scan online thì nhận là clean trong khi trên virus total thì avast nhận ra mèo què. các av khác chưa submit mấy file .idx này. máy em dùng nis 2012 quét cũng không báo gì. hiện em xoá hết rồi.  
Bạn gửi cho mình các file mà bạn đề cập nhé, các virus có tên file trùng tên bạn đề cập đã được cập nhật vào CMC Antivirus/CMC Internet Security từ rất sớm trước đây rồi, mình cần kiểm tra thêm các file của bạn :).

covirut wrote:
cập nhật thêm: tool của cmc không phát hiện ra mấy mèo què này. vì cậy những cao thủ có thẻ code file bat để kill đám mèo què này dựa rên những gì đã phân tích giúp dân đen thì tốt. 
Như mình đã có nói trong chủ đề này một lần rồi, Trojan-Downloader.Win32.FakeUnikey.1 removal tool của CMC InfoSec, scan và diệt fake Unikey và cả đám malware đi kèm theo (sau khi cài đặt fake Unikey) trong vụ Unikey.org này thôi. Với các virus khác của stl được phát tán qua các website, diễn đàn khác thì bạn cần dùng CMC Antivirus/CMC Internet Secury quét toàn máy, đồng thời thu thập thêm thông tin và virus sample chưa được biết đến gửi cho hãng.]]>
/hvaonline/posts/list/41404.html#257014 /hvaonline/posts/list/41404.html#257014 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#257015 /hvaonline/posts/list/41404.html#257015 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

rongchaua wrote:
Ngoài lề tí, không liên quan gì đến STL và cái đám Virus cả nhưng thấy cần phải nói vài điều. Tuần trước submit cái app về thời tiết lên Market Place của Windows Phone, hôm kia nhận được thông báo Test Failed. Đọc Test report té ngữa luôn không hiểu vì sao lại bị set vào "Political Content" vì app về thời tiết thì liên quan gì đến chính trị???
Check lại thì do mình set Local Default là "Vietnam, Sai Gon - HCM". Tuy chưa hỏi lại Microsoft nhưng có thể thấy 1 điều là Trung Quốc đã xâm nhập rất sâu và ảnh hưởng rất sâu rộng. Bằng chứng rõ ràng là App bị declined vì một lý do cực kỳ vô lý như vậy. Trong khi đó thì người Việt tự đấu đá lẫn nhau. BKAV bị hacked thì C50 vào cuộc ầm ĩ, Vietnamnet bị DDOS thì im ru bà rù. Cài cắm đủ loại backdoor, virus lên máy lên máy người dùng để theo dõi. Nhìn Ấn Độ, Trung Quốc tràn qua các khu công nghệ cao ở Âu Châu, Mỹ rồi nhìn thanh niên Việt Nam suốt ngày "chém gió", "lót hóng", "ngưỡng mộ" và GATO trên diễn đàn, rồi lại đọc mấy topic như virus thế này thì biết quốc gia mạt vận rồi. 
Điều này khá lạ lùng. Không hiểu việc submit một Weather App. lên Windows MarketPlace (Windows Phone used) của RCA bị failed có phải vì một trục trặc kỹ thuật nào không? chứ ai đó quy kết do nguyên nhân vì "containing sensitive political content" thì không thể hiểu nổi. Ngoài ra "nó" còn nói rõ là cái Weather App của RCA (rongchaua) là nói xấu, làm xấu nước thuộc Nhom1 (groupe 1)- mà Groupe 1 chính là TQ. Trong phần cảnh báo về "offensive" có một đoạn "chết người" là "but are not limited to the following":... nên quyền hạn của các bác quản trị ba Tầu nằm trong MarketPlace-WindowsPhone này là rất lớn, muốn "trảm ai thì trảm". Nhưng không biết cái Weather App. mà em submit có hình ảnh nào về biển Đông kèm mấy quần đảo HS, TS của VN hay không? ]]>
/hvaonline/posts/list/41404.html#257036 /hvaonline/posts/list/41404.html#257036 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#257061 /hvaonline/posts/list/41404.html#257061 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#257121 /hvaonline/posts/list/41404.html#257121 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#257141 /hvaonline/posts/list/41404.html#257141 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#257361 /hvaonline/posts/list/41404.html#257361 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

antipd wrote:
@bolzano_1989 Mình đang xài unikey bản 4.0 rc1...Thi thoảng thấy biểu tượng icon trên taskbar của nó nhoè đi. Có dow tool diệt của bạn về mà sao ko bung ra được.Bạn giúp mình nhé.Vì máy mình có 1 số thông tin nhạy cảm.:(.Mình dùng Kasper bản quyền mà ko thấy có báo virus).Đọc bài của các bạn mình thấy lo quá. 
Hướng dẫn tạo và trích xuất file ZIP, RAR, 7z http://support.cmclab.net/vn/tut0rial/huong-dan-tao-va-trich-xuat-file-zip-rar-7z/ ]]>
/hvaonline/posts/list/41404.html#257364 /hvaonline/posts/list/41404.html#257364 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát ODSERV.EXE (nguồn từ fake Unikey) và FBAgent.exe (nguồn từ KBCHN.NET), cả hai cùng chung 1 "big boss" nên từ giờ chắc phải sát nhập 2 topic lại quá :D FakeUnikey_extract_01.zip, topic: /hvaonline/posts/list/41771.html#260312]]> /hvaonline/posts/list/41404.html#260314 /hvaonline/posts/list/41404.html#260314 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát ...Công ty bảo mật CMC Infosec đã nhanh chóng đưa ra giải pháp loại bỏ mã độc "Unikey" này qua công cụ miễn phí có thể tải về tại đây ( http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip ). Các thành viên HVA Online cũng đang tích cực gửi các bản mẫu mã độc mới đến những hãng bảo mật lớn để bổ sung chúng vào danh sách nhận diện của các trình anti-virus. Bạn đọc cần lưu ý tải các phần mềm, tiện ích từ chính website của nhà cung cấp, không tải về từ các diễn đàn hay website cung cấp phần mềm lậu. Đại đa số chúng đều có nhúng mã độc nguy hại bên trong, có thể đánh cắp dữ liệu từ máy tính nạn nhân. Luôn cần sử dụng trình bảo mật anti-virus và cả tường lửa (firewall) khi thường xuyên dùng kết nối Internet. THANH TRỰC  Chú conmale, sáng nay con có download về và cài bản CMC Antivirus vào máy tính của mình, đang cài thì thấy Symantec Endpoint Protection hiện bảng thông báo nên con có hỏi bạn bolzano_1989. Nhưng bài viết phía trên của con bị làm ẩn với dòng chữ "Bài viết này được chỉnh thành dạng "ẩn" vì đã vi phạm nội quy của diễn đàn hoặc đang được điều chỉnh để thích hợp với nội quy của diễn đàn.", kỳ cục vậy Chú?]]> /hvaonline/posts/list/41404.html#260395 /hvaonline/posts/list/41404.html#260395 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

vndncn wrote:
Bức xúc quá! Chú conmale, sáng nay con có download về và cài bản CMC Antivirus vào máy tính của mình, đang cài thì thấy Symantec Endpoint Protection hiện bảng thông báo nên con có hỏi bạn bolzano_1989. Nhưng bài viết phía trên của con bị làm ẩn với dòng chữ "Bài viết này được chỉnh thành dạng "ẩn" vì đã vi phạm nội quy của diễn đàn hoặc đang được điều chỉnh để thích hợp với nội quy của diễn đàn.", kỳ cục vậy Chú? 
Đang thảo luận về Unikey bị nhiễm trojan mà nhảy vào hỏi về CMC Anti-Virus. Bạn có đọc kỹ nội quy hay chưa? Muốn hỏi gì về phần mềm và xung đột 2 antiv-virus thì vui lòng mở chủ đề khác mở chủ đề khác Muốn khiếu nại thắc mắc thì gửi vào mục "Góp ý và Hỏi đáp thắc mắc chung" ]]>
/hvaonline/posts/list/41404.html#260397 /hvaonline/posts/list/41404.html#260397 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

vndncn wrote:
Bức xúc quá!
...Công ty bảo mật CMC Infosec đã nhanh chóng đưa ra giải pháp loại bỏ mã độc "Unikey" này qua công cụ miễn phí có thể tải về tại đây ( http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip ). Các thành viên HVA Online cũng đang tích cực gửi các bản mẫu mã độc mới đến những hãng bảo mật lớn để bổ sung chúng vào danh sách nhận diện của các trình anti-virus. Bạn đọc cần lưu ý tải các phần mềm, tiện ích từ chính website của nhà cung cấp, không tải về từ các diễn đàn hay website cung cấp phần mềm lậu. Đại đa số chúng đều có nhúng mã độc nguy hại bên trong, có thể đánh cắp dữ liệu từ máy tính nạn nhân. Luôn cần sử dụng trình bảo mật anti-virus và cả tường lửa (firewall) khi thường xuyên dùng kết nối Internet. THANH TRỰC 
Chú conmale, sáng nay con có download về và cài bản CMC Antivirus vào máy tính của mình, đang cài thì thấy Symantec Endpoint Protection hiện bảng thông báo nên con có hỏi bạn bolzano_1989. Nhưng bài viết phía trên của con bị làm ẩn với dòng chữ "Bài viết này được chỉnh thành dạng "ẩn" vì đã vi phạm nội quy của diễn đàn hoặc đang được điều chỉnh để thích hợp với nội quy của diễn đàn.", kỳ cục vậy Chú? 
- Tránh chen vào những thắc mắc không liên quan đến chủ đề đang diễn tiến.. ]]>
/hvaonline/posts/list/41404.html#260401 /hvaonline/posts/list/41404.html#260401 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát /hvaonline/posts/list/41404.html#260403 /hvaonline/posts/list/41404.html#260403 GMT Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát

bolzano_1989 wrote:
[b][color=yellow]... Hiện tại mọi người yên tâm dùng phần mềm Unikey được tải ở địa chỉ sau nhé ;) : http://sf.net/projects/unikey 
Cám ơn bác đã chỉ cho dân ngoại đạo như mình địa chỉ down Unikey an toàn. ]]>
/hvaonline/posts/list/41404.html#263148 /hvaonline/posts/list/41404.html#263148 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát Thân mến gửi quý khách ! Đứng trước tình trạng phần mềm Unikey được chia sẻ một cách tràn lan trên internet đã tạo ra kẽ hở an ninh nghiêm trọng là tạo cơ hội cho hacker chèn virus vào phần mềm Unikey rồi phát tán đi khắp các diễn đàn, website khác gây thiệt hại cho người dùng. Năm 2008, nhóm Community Unikey Fans chính thức thành lập và quyết định cần phải có hành động ngay lập tức để ngăn chặn tình trạng đó. Đó chính là lý do để chúng tôi xây dựng trang web www.unikey.com.vn là nơi chính thức công bố các phiên bản Unikey cũ và mới với điều kiện an ninh tốt nhất. Trải qua nhiều khó khăn, nhóm Community Unikey Fans 2008 cuối cùng đã xây dựng thành công trang web này dựa trên mã nguồn và máy chủ do Google cung cấp. Với cơ sở hạ tầng được chính Google bảo mật, với nhân sự am hiểu về bảo mật và với tên miền đăng ký tại Trung tâm Internet Việt Nam (VNNIC) là cơ quan Chính phủ điều phối các hoạt động internet tại Việt Nam, trang web www.unikey.com.vn là nơi cung cấp các phiên bản Unikey an toàn nhất hiện nay. Đây là một Dự án phục vụ cộng đồng mang tính chất phi lợi nhuận và chúng tôi hy vọng phục vụ cộng đồng ngày một tốt hơn. Chúng tôi có thể tự hào để nói rằng: Trên website này phát hành các bản Unikey chính thức đã được kiểm định chất lượng kỹ thuật. Xin trân trọng cám ơn các bạn đã ủng hộ để Unikey ngày càng phát triển !  Cho đến gần đây, tôi vẫn chưa bao giờ nghe nói về nhóm Community Unikey Fans ( www.unikey.com.vn ) này cả dù gần đây có một nhóm người ra sức quảng cáo cho website này trên các forum người Việt. Ngoài trang web www.unikey.com.vn có nhiều dấu hiệu lừa đảo này, còn có một website lừa đảo khác cũng được lập nên cho phép tải một sản phẩm với tên gọi "Unikey Pro", "Unikey Professional" ở địa chỉ http://unikeypro.com Tôi vẫn giữ quan điểm mọi người không nên tải phần mềm Unikey từ những nguồn không được kiểm chứng như thế này. Mọi người cần đặc biệt cẩn thận, không tải các phần mềm Unikey có những dấu hiệu lừa đảo người dùng như trên ( unikey.com.vn, unikey.vn và unikeypro.com ). Địa chỉ an toàn để tải phần mềm Unikey là: http://sf.net/projects/unikey Một vài thông tin Whois:
TÊN MIỀN unikey.com.vn Ngày đăng ký: 05-03-2012 Ngày kích hoạt : 05-03-2012 Ngày hết hạn : 05-03-2013 Tên chủ thể đăng ký sử dụng : Ông Nguyễn Bằng Giang Tên giao dịch : 012702296 Địa chỉ : Phòng 501, CT 4.2, Khu Đô thị mới Mễ Trì Hạ, Phạm Hùng, Hà Nội Quản lý tại Nhà đăng ký: Công ty TNHH Thương mại dịch vụ Mắt Bão Máy chủ DNS chuyển giao: + ns1.matbao.vn + ns2.matbao.vn 
TÊN MIỀN unikey.vn Ngày đăng ký: 20-03-2009 Ngày kích hoạt : 20-03-2009 Ngày hết hạn : 20-03-2013 Tên chủ thể đăng ký sử dụng : Ông Đào Duy Phong Tên giao dịch : Ông Đào Duy Phong Địa chỉ : P204 - D7 - ĐHBK Hà Nội, số 01 Đại Cồ Việt, Hà Nội Quản lý tại Nhà đăng ký: Công ty TNHH PA Việt Nam Máy chủ DNS chuyển giao: + ns2008.nhanhoa.com.vn + ns2009.nhanhoa.com.vn 
Domain Name: unikeypro.com Registrar: Name.com LLC Protected Domain Services Customer ID: NCR-3963119 Expiration Date: 2013-04-23 09:37:58 Creation Date: 2012-04-23 09:37:58 Name Servers: ns1.name.com ns2.name.com ns3.name.com ns4.name.com Domain privacy provided by Protected Domain Services. For more information see w ww.protecteddomainservices.com REGISTRANT CONTACT INFO Protected Domain Services - Customer ID: NCR-3963119 P.O. Box 6197 Denver CO 80206 US Phone: +1.7202492374 Email Address: unikeypro.com@protecteddomainservices.com ADMINISTRATIVE CONTACT INFO Protected Domain Services - Customer ID: NCR-3963119 P.O. Box 6197 Denver CO 80206 US Phone: +1.7202492374 Email Address: unikeypro.com@protecteddomainservices.com TECHNICAL CONTACT INFO Protected Domain Services - Customer ID: NCR-3963119 P.O. Box 6197 Denver CO 80206 US Phone: +1.7202492374 Email Address: unikeypro.com@protecteddomainservices.com BILLING CONTACT INFO Protected Domain Services - Customer ID: NCR-3963119 P.O. Box 6197 Denver CO 80206 US Phone: +1.7202492374 Email Address: unikeypro.com@protecteddomainservices.com  
]]>
/hvaonline/posts/list/41404.html#263571 /hvaonline/posts/list/41404.html#263571 GMT