banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát  XML
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 12:31:19 (+0700) | #1 | 256417
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Thông báo khẩn cùng thành viên diễn đàn HVAOnline và bạn đọc

Trong những ngày vừa qua, website http://unikey.org/ của tác giả Phạm Kim Long đã bị kiểm soát bởi hacker cho đến rạng sáng ngày 1/3/2012, tin tặc đã trỏ các link tải phần mềm Unikey về một website được làm giả của tin tặc ở trang web phần mềm Tự do mã nguồn mở SourceForge.net.
Các file của phần mềm Unikey được lưu giữ ở website này cho đến rạng sáng nay đều chứa phần mềm độc hại trojan.

Đây là trang web giả mạo của tin tặc:
Unikey Vietnamese Input Method
Code:
http://sourceforge.net/projects/unjkey/




Ảnh cho thấy website Unikey.org của tác giả Phạm Kim Long đã bị kiểm soát bởi hacker:









Các máy tính đã được cài đặt phần mềm Unikey chứa trojan này cần được quét virus với phần mềm chống virus được cập nhật dữ liệu mới nhất, mọi người có thể dùng phần mềm CMC Antivirus miễn phí hoặc CMC Internet Security bản quyền đã được cập nhật để diệt các phần mềm độc hại này kịp thời smilie .
Xin hãy thông báo tin tức này cho gia đình, người thân và bạn bè của bạn được biết để tránh là nạn nhân của hacker.

Tham khảo từ diễn đàn CMC InfoSec:
[Thông báo] Trojan được chèn vào phần mềm Unikey ở website SourceForge.net
Code:
http://support.cmclab.net/vn/virus-research/(thong-bao)-trojan-duoc-chen-vao-phan-mem-unikey-o-website-sourceforge-net/


Cập nhật:
1/3/2012:
Hiện tại anh Phạm Kim Long đã report và tài khoản giả mạo của hacker đã bị xóa:
Code:
http://sourceforge.net/apps/trac/sourceforge/ticket/24601

Code:
http://sourceforge.net/users/unikeypklong




Trang chủ của project Unikey Vietnamese Input Method ở website SourceForge.net hiện đã được phục hồi và hoạt động trở lại bình thường (vào rạng sáng 1/3/2012, trang web này vẫn không thể truy cập được):
Code:
http://sourceforge.net/projects/unikey/


2/3/2012:
Link tải công cụ CMC.CleanFakeUnikey diệt stl malware trong Unikey:
CMC Information Security's Trojan-Downloader.Win32.FakeUnikey.1 removal tool
Code:
http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip

Với mọi góp ý về công cụ này (detection, removal, false positive,...), các bạn có thể gửi tại chủ đề này hoặc ở diễn đàn CMC InfoSec.
Ngoài ra, xin các bạn vui lòng không upload công cụ này đến các trang chia sẻ file để chia sẻ cho mọi người do có thể bị kẻ xấu lợi dụng, chèn mã độc hại vào công cụ này.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 12:41:56 (+0700) | #2 | 256421
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Có ai có mẫu của các phần mềm giả mạo này không? Vui lòng upload để phân tích và cảnh báo đến các AV.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 13:01:24 (+0700) | #3 | 256424
[Avatar]
onelove27
Member

[Minus]    0    [Plus]
Joined: 08/12/2006 14:45:27
Messages: 30
Offline
[Profile] [PM]

conmale wrote:
Có ai có mẫu của các phần mềm giả mạo này không? Vui lòng upload để phân tích và cảnh báo đến các AV. 


Cháu vẫn giữ để bác nào có nhã hứng RCE http://www.mediafire.com/?bjrft361j31banm
Đã nén thêm lần nữa để tránh double click. Pass: hvaonline
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 13:07:54 (+0700) | #4 | 256427
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Trong tuần qua đã có hơn 12.000 lượt tải bản Unikey giả mạo chứa Virus. Vậy sơ sơ là chúng đã có một mạng botnet khá khá rồi

Năm hạn roài,mới có 2 tháng đầu năm mà đủ thứ chuyện vậy nè smilie
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 13:15:18 (+0700) | #5 | 256428
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

xnohat wrote:
Trong tuần qua đã có hơn 12.000 lượt tải bản Unikey giả mạo chứa Virus. Vậy sơ sơ là chúng đã có một mạng botnet khá khá rồi

Năm hạn roài,mới có 2 tháng đầu năm mà đủ thứ chuyện vậy nè smilie 


Đó chỉ mới là cho đến ngày 23/2/2012 thôi anh smilie .

Trọn full bộ mẫu virus sẽ được mình gửi đến anh TQN và nhóm malware RCE của HVA.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 13:25:49 (+0700) | #6 | 256430
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

bolzano_1989 wrote:

xnohat wrote:
Trong tuần qua đã có hơn 12.000 lượt tải bản Unikey giả mạo chứa Virus. Vậy sơ sơ là chúng đã có một mạng botnet khá khá rồi

Năm hạn roài,mới có 2 tháng đầu năm mà đủ thứ chuyện vậy nè smilie 


Đó chỉ mới là cho đến ngày 23/2/2012 thôi anh smilie .

Trọn full bộ mẫu virus sẽ được mình gửi đến anh TQN và nhóm malware RCE của HVA. 


Cảm ơn bolzano, em PM anh và gởi anh bộ này nhá?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 13:48:31 (+0700) | #7 | 256438
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

conmale wrote:

bolzano_1989 wrote:

xnohat wrote:
Trong tuần qua đã có hơn 12.000 lượt tải bản Unikey giả mạo chứa Virus. Vậy sơ sơ là chúng đã có một mạng botnet khá khá rồi

Năm hạn roài,mới có 2 tháng đầu năm mà đủ thứ chuyện vậy nè smilie 


Đó chỉ mới là cho đến ngày 23/2/2012 thôi anh smilie .

Trọn full bộ mẫu virus sẽ được mình gửi đến anh TQN và nhóm malware RCE của HVA. 


Cảm ơn bolzano, em PM anh và gởi anh bộ này nhá? 


Em đã gửi anh bộ file chưa được lọc rồi, có thể thừa do em chỉ tập trung gom mẫu thôi.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 14:22:29 (+0700) | #8 | 256442
[Avatar]
canh_nguyen
Elite Member

[Minus]    0    [Plus]
Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]
Anh conmale dự đoán năm con rồng chuẩn thế smilie
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 14:52:38 (+0700) | #9 | 256449
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
Vụ STL chúng ta khuyên nên vào trang chủ download các phần mềm. Giờ vào trang chủ cũng bị dính chưởng smilie . Có khi nào là của mấy bác STL nữa không ta smilie . Có lẽ nên thông báo rộng rãi cho cộng đồng, đồng thời tổ chức một chầu nhậu cho anh em RCE có sức làm việc smilie
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 15:01:04 (+0700) | #10 | 256452
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

vikjava wrote:
Vụ STL chúng ta khuyên nên vào trang chủ download các phần mềm. Giờ vào trang chủ cũng bị dính chưởng smilie . Có khi nào là của mấy bác STL nữa không ta smilie . Có lẽ nên thông báo rộng rãi cho cộng đồng, đồng thời tổ chức một chầu nhậu cho anh em RCE có sức làm việc smilie  

Nhân tiện Bác Mai rửa cái bằng nữa anh smilie
Làm luôn một thể cho tiện smilie anh em RCE báo danh smilie

- Ky0 -
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 15:37:37 (+0700) | #11 | 256465
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Má ơi, vừa về nhà, được bolzano gởi PM link file, mới coi cái unikey40-RC2, đúng là có đính kèm em bé, code VC++ 2010. Đang tranh thủ giải khát với vài lon 33, vừa extract 3 file trojan nhúng trong resource của unikey, mạo danh TypeLib resource.
Mùi này nghe quen quen, code của stl nữa à !
Tội em quá mấy anh, mấy anh cho em rữa tay cắt kiếm cái. Giờ em phải hàn kiếm, mài lại nữa à ?
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 15:41:30 (+0700) | #12 | 256467
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

vikjava wrote:
Vụ STL chúng ta khuyên nên vào trang chủ download các phần mềm. Giờ vào trang chủ cũng bị dính chưởng smilie . Có khi nào là của mấy bác STL nữa không ta smilie . Có lẽ nên thông báo rộng rãi cho cộng đồng, đồng thời tổ chức một chầu nhậu cho anh em RCE có sức làm việc smilie  


Có anh chị em nào ở HVA quen anh Phạm Kim Long không, em tình nguyện làm malware forensics miễn phí cho máy tính của anh ấy. Không loại trừ khả năng với tình trạng virus stl tràn lan khắp nơi hiện nay, anh Phạm Kim Long chẳng may đã đăng nhập tài khoản ở một trong những máy tính nằm trong mạng bot của stl.

Anh Phạm Kim Long nếu đọc được bài viết này có thể liên lạc em qua email:


, em sẽ giúp anh thực hiện malware forensics trên máy tính, truy tìm nguồn gốc và sự hiện diện virus.
Về điều tra, audit và bảo mật website http://unikey.org/ , anh cũng có thể tìm đến CMC InfoSec hoặc nhờ ban quản trị HVA tư vấn riêng.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 15:42:06 (+0700) | #13 | 256468
[Avatar]
Ikut3
Elite Member

[Minus]    0    [Plus]
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
[Profile] [PM] [Yahoo!]
Em nghĩ các Diễn đàn công nghệ nên bắt tay nhau, truyền thông tin này đến tất cả người tham gia thời điểm hiện tại
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 15:43:57 (+0700) | #14 | 256470
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đã extract ra được 3 file. 1 file là unikeynt.exe gốc, 2 ông kia là "mèo què". Em xin tuyên bố: chính danh code của stl. Code quá quen rồi.
Tạm dừng phân tích cho xong tasklist.exe và systeminfo.exe thôi. Tập trung vào đây.
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 15:44:19 (+0700) | #15 | 256471
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Ky0 wrote:

vikjava wrote:

Làm luôn một thể cho tiện smilie anh em RCE báo danh smilie

- Ky0 -  

 

Rút kinh nghiệm, anh em RCE đừng báo danh công cộng. Nếu thích tham gia, xin vui lòng PM đến tớ.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 15:52:13 (+0700) | #16 | 256475
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]

TQN wrote:
Em xin tuyên bố: chính danh code của stl. Code quá quen rồi.


Đụng tới STL nữa ah anh, ớn thế smilie . Trước mắt nên thông báo trên tất cả các kênh như status Yahoo, facebook, forum ...

@Ky0: Báo danh làm gì chú, anh em RCE thì biết có anh TQN và anh conmale thôi mà đã thấy 2 ảnh bị "hành" rùi smilie . Chú hay show hàng tự sướng có ngày chết ah nha
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 16:03:34 (+0700) | #17 | 256476
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Còn ai trồng khoai đất này nữa, sơ bộ quen thuộc lắm: CString của ATL/MFC, rút trong resource ra, giải mã, extract vào temp, tự xoá khi reboot, CreateProcess.
Mấy anh stl sau một thời gian vắng bóng luyện công mà code chả lên tay gì cả.
Hồi xưa em đã nói, mấy anh cứ vẽ rồng vẽ rắn gì mặc kệ. Em cứ breakpoint trong Olly, IDA tại CreateFileW, WriteFile, CloseHandle, CreateProcessW, ShellExecuteW là tóm được em bé đính kèm hết. Hơi sức đâu mà phân tích hết cái đống code.
Nhìn các nick đang đọc, lại thấy quen quen, nhớ hồi xưa, vd cậu xxthang, lúc nào cũng có mặt đầu tiên.
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 16:49:49 (+0700) | #18 | 256481
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

conmale wrote:

Ky0 wrote:

vikjava wrote:

Làm luôn một thể cho tiện smilie anh em RCE báo danh smilie

- Ky0 -  

 

Rút kinh nghiệm, anh em RCE đừng báo danh công cộng. Nếu thích tham gia, xin vui lòng PM đến tớ. 


Anh conmale lập mailing list private luôn đi anh, cho email em vào luôn anh nhé smilie .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 16:52:15 (+0700) | #19 | 256482
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

bolzano_1989 wrote:

conmale wrote:

Ky0 wrote:

vikjava wrote:

Làm luôn một thể cho tiện smilie anh em RCE báo danh smilie

- Ky0 -  

 

Rút kinh nghiệm, anh em RCE đừng báo danh công cộng. Nếu thích tham gia, xin vui lòng PM đến tớ. 


Anh conmale lập mailing list private luôn đi anh, cho email em vào luôn anh nhé smilie


OK em, anh sẽ lập mailing list với email của những thành viên dùng để đăng ký sinh hoạt trên HVA tham gia trong việc phân tích malware. Sẽ gởi chung 1 email trên mailing list sau khi hoàn tất danh sách.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 16:53:35 (+0700) | #20 | 256483
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]
Chuyển sang Ubuntu dùng thôi. Mình chưa thích có bầu smilie
Sang ubuntu có em Ibus triệt sản rồi ko sợ smilie
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 17:24:30 (+0700) | #21 | 256486
[Avatar]
quygia128
Member

[Minus]    0    [Plus]
Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline
[Profile] [PM] [WWW]
Anh TQN Extract được mấy file vậy anh ?. Sao em được có 1 file duy nhất là (30C.tmp) File này định dạng PE file (exe), gồm 5 section. Fast scan cho kết quả Microsoft Visual C++ v8.0 

Edit:
Sorry do em không để ý nên hỏi bậy quá, Anh nói Extact được 3 file em tưởng 3 file virus. Em xin đính chính lại gồm 3 file trong đó 1 file được lưu ở thư mục temp (file này 32 KB) của window, 1 file là file gốc của Unikey(UnikeyNT.exe) và 1 file còn lại nằm cùng thư mục với file bị nhúng virus file này có tên (UnikeyNT.exe.tmp) và được set thuộc tính ẩn.
Sơ suất quá smilie
.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::.
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 17:26:26 (+0700) | #22 | 256487
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Công cụ Kiểm tra Unikey của bạn có nhiễm STL Virus


Đây là công cụ kiểm tra Phiên bản Unikey 4.0 RC 2 trên máy của bạn có bị nhiễm virus của bọn "Sinh Tử Lệnh" hay không

Tải về phiên bản dành cho máy dùng Windows 32 bit: http://www.mediafire.com/?r0pvbvslksr2wg0
Checksum: 66d24e692b2b988d150a5bc0d39e84e7
Tải về phiên bản dành cho máy dùng Windows 64 bit (cập nhật sửa lỗi): http://www.mediafire.com/?q9uuutcfdjdseyy
Checksum: e70a8f4747bcc106e87519bf84d4dd10

Cách dùng:

Copy file CheckUnikeySTLVirus-32bit.exe vào thư mục chứa chương trình Unikey ( chỗ có chứa file UnikeyNT.exe ). Kích chạy file CheckUnikeySTLVirus-32bit.exe ( hoặc CheckUnikeySTLVirus-64bit.exe nếu chạy trên Windows 64bit )

Chương trình này được tôi viết bằng AutoIt, chức năng chính là so sánh Checksum của phiên bản Unikey trên máy với phiên bản Unikey 4.0 RC2 thật của tác giả Phạm Kim Long.

Source chương trình: http://www.mediafire.com/?97gdzldi6a3333n

Chú ý: hiện chương trình mới chỉ check cho Phiên bản Unikey 4.0 RC 2 ( nhiều người dùng nhất ), các phiên bản khác hiện đang được cập nhật

8:11PM 1/3/2012: Đã cập nhật lại phiên bản dành cho 64 bit - sửa lỗi không vận hành được

------------------
Về việc có 2 Antivirus ít được biết tới là "Jiangmin" và "VIPRE" nhận diện lầm tool này là malware tôi xin trả lời như sau:

Ngôn ngữ lập trình AutoIt khi chạy cần phải sử dụng một chương trình thông dịch tên là AutoItSC.bin chương trình này hoàn toàn an toàn nhưng bị 2 trình diệt virus kia hiểu lầm là malware.

Mọi người có thể tham khảo thêm về vấn đề này tại http://www.autoitscript.com/forum

-------------------------------

Hiện các anh em bên CMC Infosec đã cung cấp công cụ diệt con stl malware này

Tải về tại đây:
http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 18:05:51 (+0700) | #23 | 256490
[Avatar]
onelove27
Member

[Minus]    0    [Plus]
Joined: 08/12/2006 14:45:27
Messages: 30
Offline
[Profile] [PM]

conmale wrote:

OK em, anh sẽ lập mailing list với email của những thành viên dùng để đăng ký sinh hoạt trên HVA tham gia trong việc phân tích malware. Sẽ gởi chung 1 email trên mailing list sau khi hoàn tất danh sách. 


Lần này hoạt động bí mật rồi smilie Nhưng mong là sau khi kết thúc sẽ có tường thuật.
Bí mật lại hay vì bọn STL không biết để đối phó như những lần trước.

phanledaivuong wrote:
Chuyển sang Ubuntu dùng thôi. Mình chưa thích có bầu smilie
Sang ubuntu có em Ibus triệt sản rồi ko sợ smilie 


Tưởng sống chung với lũ smilie

xnohat wrote:
Công cụ Kiểm tra Unikey của bạn có nhiễm STL Virus


Đây là công cụ kiểm tra Phiên bản Unikey 4.0 RC 2 trên máy của bạn có bị nhiễm virus của bọn "Sinh Tử Lệnh" hay không

Tải về phiên bản dành cho máy dùng Windows 32 bit: http://www.mediafire.com/?r0pvbvslksr2wg0
Checksum: 66d24e692b2b988d150a5bc0d39e84e7
 

Như thế này là sao nhỉ?
https://www.virustotal.com/file/edf259ea09aa2fdf5ac9147f8ab6a836b0fdd5e6cb807183f8efc94c5b2637fe/analysis/
https://www.virustotal.com/file/55ee0c84269d1c730eadba6e76263046804edb6ee1167e99c3b416c0952ef5f8/analysis/1330604004/
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 18:05:51 (+0700) | #24 | 256491
[Avatar]
shift9x
Member

[Minus]    0    [Plus]
Joined: 13/04/2009 23:22:55
Messages: 5
Offline
[Profile] [PM]

xnohat wrote:
Công cụ Kiểm tra Unikey của bạn có nhiễm STL Virus


Đây là công cụ kiểm tra Phiên bản Unikey 4.0 RC 2 trên máy của bạn có bị nhiễm virus của bọn "Sinh Tử Lệnh" hay không

Tải về phiên bản dành cho máy dùng Windows 32 bit: http://www.mediafire.com/?r0pvbvslksr2wg0
Checksum: 66d24e692b2b988d150a5bc0d39e84e7
Tải về phiên bản dành cho máy dùng Windows 64 bit: http://www.mediafire.com/?nvb2qagil95526x
Checksum: e70a8f4747bcc106e87519bf84d4dd10

Cách dùng:

Copy file CheckUnikeySTLVirus-32bit.exe vào thư mục chứa chương trình Unikey ( chỗ có chứa file UnikeyNT.exe ). Kích chạy file CheckUnikeySTLVirus-32bit.exe ( hoặc CheckUnikeySTLVirus-64bit.exe nếu chạy trên Windows 64bit )

Chương trình này được tôi viết bằng AutoIt, chức năng chính là so sánh Checksum của phiên bản Unikey trên máy với phiên bản Unikey 4.0 RC2 thật của tác giả Phạm Kim Long.

Source chương trình: http://www.mediafire.com/?97gdzldi6a3333n



 


Kết quả sau khi kiểm tra bằng chương trình anh xnohat:



[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 18:16:59 (+0700) | #25 | 256492
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

onelove27 wrote:

https://www.virustotal.com/file/55ee0c84269d1c730eadba6e76263046804edb6ee1167e99c3b416c0952ef5f8/analysis/1330604004/ 


Một chương trình diệt virus vô danh nào đó

VIPRE Trojan.Win32.Generic.pak!cobra

Nhận diện nhầm AutoIt là trojan
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 18:25:40 (+0700) | #26 | 256493
songsuat
Member

[Minus]    0    [Plus]
Joined: 25/08/2009 04:36:29
Messages: 9
Location: Nha Trang đẹp lắm
Offline
[Profile] [PM] [Yahoo!]
@xnohat 64 không dùng được file đó, mong anh fix, cảm ơn
http://vozforums.com/showpost.php?p=44720773&postcount=8
http://vozforums.com/showpost.php?p=44720820&postcount=10
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 18:29:22 (+0700) | #27 | 256494
[Avatar]
onelove27
Member

[Minus]    0    [Plus]
Joined: 08/12/2006 14:45:27
Messages: 30
Offline
[Profile] [PM]

xnohat wrote:

onelove27 wrote:

https://www.virustotal.com/file/55ee0c84269d1c730eadba6e76263046804edb6ee1167e99c3b416c0952ef5f8/analysis/1330604004/ 


Một chương trình diệt virus vô danh nào đó

VIPRE Trojan.Win32.Generic.pak!cobra

Nhận diện nhầm AutoIt là trojan 


Mình nghĩ nên hướng dẫn mọi người dùng 1 chương trình nào đó như HashCalc để kiểm chứng file UnikeyNT.exe
Nếu không thì nên code cách khác để không gây hiểu nhầm. Vì xnohat là mod hva nên cẩn trọng vẫn hơn.
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 18:31:25 (+0700) | #28 | 256495
[Avatar]
shift9x
Member

[Minus]    0    [Plus]
Joined: 13/04/2009 23:22:55
Messages: 5
Offline
[Profile] [PM]
Mình tải hai bản 32 và 64 về rồi để chung vào thư mục có chứa file UnikeyNT.exe, chạy thử 64 nếu không được thì chạy 32, mình cũng thử cách đó smilie làm vậy được không nhỉ?
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 18:38:03 (+0700) | #29 | 256498
pokemega123
Member

[Minus]    0    [Plus]
Joined: 18/01/2009 00:19:56
Messages: 1
Offline
[Profile] [PM]
64 bit không hoạt động được
[Up] [Print Copy]
  [Announcement]   Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát 01/03/2012 19:02:59 (+0700) | #30 | 256499
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

songsuat wrote:
@xnohat 64 không dùng được file đó, mong anh fix, cảm ơn
http://vozforums.com/showpost.php?p=44720773&postcount=8
http://vozforums.com/showpost.php?p=44720820&postcount=10 


Đã sửa lỗi bản 64 bit

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
4 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|