Về vụ bộ gõ Unikey bị dính trojan

Bộ gõ Unikey bị hacker lợi dụng cài mã độc

Ngày 1/3/2012: Thông báo chính thức về việc web site unikey.org bị đột nhập[1]

  • Thời gian vừa qua, unikey.org đã bị kẻ xấu đột nhập thay đổi đường link đến download các chương trình unikey. Đây là các chương trình chứa mã độc hại. Đến ngày 1/3/2012 website đã được khôi phục lại với các đường link đến chương trình chính thức không có mã độc hại.
  • Với những ai đã download từ unikey.org trong thời gian từ 31/1/2012 đến 29/2/2012, xin hãy xóa các file đã download và dùng các chương trình diệt virus mới nhất, hay các công cụ từ một số cộng đồng security (HVA, CMC InfoSec) để kiểm tra lại máy. Sau đó download lại unikey từ unikey.org.
  • UniKey chỉ có 1 website chính thức duy nhất tại unikey.org. Tác giả UniKey không chịu trách nhiệm về bất cứ website nào khác lấy danh nghĩa unikey.
  • Các chương trình UniKey được lưu trữ tại http://sf.net/projects/unikey là các chương trình gốc, không chữa mã độc. Các bạn có thể đối chiếu mã MD5, SHA1 từ địa chỉ này.
  • Tác giả UniKey gửi lời xin lỗi đến tất cả những người đã bị ảnh hưởng bởi sự cố này.

Số là chập giữa đêm 29/2 và 1/3, vừa download xong bộ cài Windows 8 Consumer Preview, tí tửng cài luôn, xong tiện tay download 1 bản Unikey 4.0 RC2 64bit về xài. Đến tối 1/3 vào VietLUG đọc tin trên HVA mới tá hỏa ra là site Unikey.org của bác Long bị hacker chiếm đóng được 1 dạo rồi, đến rạng sáng ngày 1/3 mới giành lại quyền kiểm soát & khắc phục sự cố.

Hacker rất tinh vi khi thực hiện việc tạo 1 tài khoản trên sourceforge.net rồi tạo 1 project giả mạo Unikey, sau đó trỏ link download từ site Unikey.org của PKL về project này. Điều này khiến cho người dùng nếu không tinh ý thì sẽ không thể nào nhận ra được[2] :-SS User và project giả mạo đã bị xóa ngay sau khi PKL giành lại quyền kiểm soát Unikey.org[3]

User thật của dự án Unikey

User xịn là pklong: http://sourceforge.net/users/pklong

User giả mạo do hacker tạo ra

Còn user giả mạo là unikeypklong: http://sourceforge.net/users/unikeypklong

Dự án thật tên là unikey

Project xịn là Unikey: http://sourceforge.net/projects/unikey/

Dự án giả mạo tên là unjkey (i thay bằng j)

Còn project giả mạo lại là Unjkey: http://sourceforge.net/projects/unjkey/

Do cái bản mình down nó lại đúng vào cái lúc nhập nhèm nên không rõ là có bị trúng virus hay không, cứ kiểm tra phát cho chắc. Theo như phán đoán từ HVA thì trojan này được tạo bởi 1 nhóm hacker người Việt ở nước ngoài có tên là Sinh Tử Lệnh, muốn biết thêm về Sinh Tử Lệnh thì Google sẽ ra mấy vụ lùm xùm đôi năm về trước :)) Dùng công cụ kiểm tra viết bởi Moderator xnohat của diễn đàn HVA[4] , có thể download theo link dưới đây hoặc download ngay ở widget nhúng cuối bài viết này[12]:

Phiên bản cho Unikey 32bit: http://www.mediafire.com/?r0pvbvslksr2wg0
MD5 Checksum: 66d24e692b2b988d150a5bc0d39e84e7
SHA1 Checksum: 236cd93f79ab27d473ce36f653e2f58e097e5c9c

Phiên bản cho Unikey 64bit: http://www.mediafire.com/?q9uuutcfdjdseyy
MD5 Checksum: 1be99cf63d225ed03f176105f1f1fb63
SHA1 Checksum: 7bb3543287ff525a1c569df6a02dc63df4ec14c2

Để kiểm tra checksum có thể dùng phần mềm HashCalc của SlavaSoft[5], có thể download ngay ở widget nhúng cuối bài viết này[12].

Dùng HashCalc để kiểm tra mã checksum của file

Cơ chế hoạt động của công cụ này là đối chiếu mã hash MD5 của 2 file UnikeyNT.exe và UKHook40.dll trên máy tính cần kiểm tra với mã hash MD5 của phiên bản Unikey “xịn” nguyên gốc, nếu khác biệt thì sẽ báo là nhiễm virus, còn trùng thì báo là sạch. Chú ý là phải dùng đúng phiên bản tương ứng với phiên bản Unikey mà bạn đang dùng, nếu không sẽ nhận được thông báo sai (false-positive notification). Để biết phiên bản Unikey đang dùng là 32bit hay 64bit thì mở Bảng điều khiển Unikey, bấm vào Thông tin để xem:

Phiên bản Unikey 64bit

Phiên bản 64bit

Phiên bản Unikey 32bit

Phiên bản 32bit

Copy công cụ kiểm tra vào thư mục đặt bộ cài Unikey (chứa 2 file: UnikeyNT.exe và UKHook40.dll) rồi chạy (nhớ là tool 64bit phải đi với Unikey 64bit và tool 32bit phải đi với Unikey 32bit đấy!):

Copy công cụ kiểm tra vào đúng thư mục chứa phiên bản Unikey tương ứng

Nếu may mắn (là phần nhiều nếu bạn không download Unikey trong thời điểm từ 31/01/2012 đến 01/03/2012) thì bạn sẽ nhận được thông báo rằng Unikey của mình sạch:

Chương trình UnikeyNT.exe sạch

Thư viện UKHook40.dll sạch

Xin chúc mừng, bạn đã thoát nạn. Còn nếu nhận được thông báo đã bị nhiễm virus:

Chương trình UnikeyNT.exe bị nhiễm virus

Thư viện UKHook40.dll bị nhiễm virus

thì trước hết kiểm tra lại xem đã làm đúng như dòng chữ in nghiêng đậm ở trên chưa? Nếu đã làm đúng rồi mà vẫn ra như vậy thì xin chia buồn, bạn đã bị nhiễm trojan của Sinh Tử Lệnh, tèn tèn tèn tén ten….

Để diệt trojan này có thể dùng công cụ của CMCinfosec[6], download link dưới đây hoặc download ngay ở widget nhúng cuối bài viết này[12]:

 http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip

Công cụ sẽ quét các tiến trình đang được thực thi trên hệ thống để gỡ bỏ virus và quét toàn bộ các ổ lưu trữ để xóa bỏ phần mềm Unikey bị nhiễm virus.

Việc cuối cùng sau khi diệt xong virus là download lại 1 bản sạch của Unikey về dùng, giờ thì unikey.org đã trở lại an toàn. Nếu vẫn chưa tin tưởng lắm thì có thể vào thẳng Unikey Project trên sourceforge.net[7] để download cho chắc chắn hoặc download 1 bản lưu trữ ngay ở widget nhúng cuối bài viết này[12]:

Phiên bản 32bit: unikey40RC2-1101-win32.zip
MD5 Checksum: 57fa52096896b56f8c87d098e029ae90
SHA1 Checksum: fd9c72028b86e6088a9510cb64ecd7e1f5c14270

Phiên bản 64bit: unikey40RC2-1101-win64.zip
MD5 Checksum: d19dcadd23906eb512ddb1cf19ebc4ef
SHA1 Checksum: fa7f1afbaffe9e9d75ff3b27b429a4378816cfab

Thêm về Unikey.vn:

Giao diện trang Unikey.vn

Nguyên unikey.vn là site do 1 cá nhân (hay tổ chức nào đó) dựng lên, thực hiện đóng gói Unikey phiên bản mới nhất (4.0 RC2) dưới dạng bộ cài đặt cho người dùng tải về, mục đích trong sáng không vụ lợi hay ăn theo danh tiếng để câu traffic thì không ai biết rõ cho lắm, chỉ biết rằng trang này hoàn toàn không liên can gì đến dự án Unikey của Phạm Kim Long cả, chỉ có 1 site chính thức duy nhất cho dự án này là unikey.org mà thôi. Hiện tại vẫn chưa có căn cứ nào cho thấy unikey.vn có liên quan đến vụ Unikey bị hacker lợi dụng lần này cả, nhưng đây không phải là nguồn chính thống của phần mềm nên không thể khẳng định được là liệu có an toàn 100% hay không.

Thông tin chủ sở hữu domain unikey.vn

Một điều thú vị là vào đêm ngày 29/2, sáng ngày 1/3 mình có vào site unikey.vn thì thấy site này bị down, không truy cập được. Đến hôm nay vào xem thì thấy ở footer đã có ghi:

Unikey.vn is not official of Unikey / Unikey.org (by Pham Kim Long)

Mà mình cam đoan là trước đây lúc vào trang này, mình đã tìm khắp để xem liệu có phải dự án Unikey chuyển từ unikey.org sang unikey.vn chăng, mà không thấy có dòng nào như thế này. Chứng tỏ dòng này mới chỉ được thêm vào chưa lâu :))

Có một điểm khá láu cá là unikey.vn lợi dụng Google Code repository[8] để tạo 1 repository[9] lưu trữ các file binary cài đặt Unikey nhằm tận dụng băng thông & sức mạnh hệ thống của Google Project Hosting, trong khi theo quy định của Google Code thì các dự án host tại Google Code phải là dự án mã nguồn mở, có kèm mã nguồn và tài liệu trình bày mục đích sử dụng cụ thể thì mới được lưu trữ, còn việc host file JavaScript và các ứng dụng không phải là nguồn mở khác nhằm tận dụng sức mạnh máy chủ lưu trữ của Google là vi phạm và bị nghiêm cấm. Hiện tại, việc này đã được admin afterlastangel của ubuntu-vn[10] thông báo vi phạm lên Google Code và project vietnam-unikey đã bị đóng cửa[11], tuy nhiên do dữ liệu vẫn còn tồn sót trên CDN (Content Delivery Network) của Google Code nên vẫn có thể download được các bộ cài Unikey host tại dự án này một cách phập phù, lúc được lúc không tùy thuộc vào server được truy vấn, chắc phải vài ngày nữa mới hết hẳn.

Dăm bữa trước mình cài máy hộ mấy bạn có trót dại download bộ cài đặt Unikey từ unikey.vn về, chả nhớ là cài cho những bạn nào nữa. Nên bạn nào đã nhờ mình cài hộ thì làm ơn check lại giùm cái vậy. Thành thật xin lỗi, nhưng cẩn tắc vô áy náy mà :))


[1] Thông báo tại trang chủ của dự án Unikey: http://unikey.org/index.php?langset=vie
[2] Thông tin về trang giả mạo dự án Unikey tại SourceForge.net: http://support.cmclab.net/vn/virus-research/(thong-bao)-trojan-duoc-chen-vao-phan-mem-unikey-o-website-sourceforge-net/
[3] Remove fake project unjkey containing trojans: http://sourceforge.net/apps/trac/sourceforge/ticket/24601
[4] Công cụ Kiểm tra Unikey của bạn có nhiễm STL Virus: http://www.hvaonline.net/hvaonline/posts/list/41404.hva#256487
[5] SlavaSoft HashCalc: http://www.slavasoft.com/hashcalc/
[6] Đã trị được mã độc chèn trong phần mềm Unikey: http://www.pcworld.com.vn/articles/chuyen-muc/an-toan-thong-tin/2012/03/1230803/da-tri-duoc-ma-doc-chen-trong-phan-mem-unikey/
[7] Unikey Vietnamese Input Method – Version 4.0 RC2: http://sourceforge.net/projects/unikey/files/unikey-win/4.0%20RC2/
[8] Google Code: http://code.google.com/
[9] vietnam-unikey project on Google Code: http://code.google.com/p/vietnam-unikey/
[10] Ubuntu Việt Nam | Ubuntu – Linux for Human Beings: http://www.ubuntu-vn.org/
[11]
GPL violation of vietnam-unikey project: http://groups.google.com/group/google-code-hosting/browse_thread/thread/05f81d42056382ac
[12] Tất cả các phần mềm & công cụ được nhắc đến trong bài viết có thể download trực tiếp tại đây:

One thought on “Về vụ bộ gõ Unikey bị dính trojan

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s