Phát hiện VietKey 2007 chứa mã độc tấn công các trang web "lề trái"

  • Bởi Admin
    05/05/2010
    8 phản hồi

    Tqvn2004 tổng hợp

    Như Dân Luận đã đưa tin, vào tháng 3/2010, Google và McAfee đã phát hiện ra bộ gõ VPSkey của Hội Chuyên Gia Việt Nam (VPS) bị lợi dụng để phát tán mã độc nhằm chiếm quyền điều khiển máy tính của người sử dụng, và dùng các máy tính này tạo thành mạng botnet tấn công từ chối dịch vụ các trang web "lề trái" như Bauxite Việt Nam, Talawas, X-cafevn.org, Dân Luận v.v... Sau sự cố, Hội Chuyên Gia Việt Nam đã nhanh chóng gõ bỏ bộ gõ chứa virus và đăng lời xin lỗi tới người sử dụng gần xa.

    Tuy nhiên, sự việc vẫn chưa dừng ở đó. Theo phát hiện mới đây của thành viên diễn đàn Thanh Niên Xa Mẹ, một bộ gõ khác, VietKey 2007, do công ty Máy tính Truyền thông Điều khiển 3C (Computer Communication Control 3C Inc.) cung cấp trên trang web của mình, cũng bị nhiễm mã độc cùng chủng loại.

    Thành lập năm 1989, công ty 3C là một trong những công ty đầu tiên ở Việt Nam làm việc trong lĩnh vực công nghệ tin học và viễn thông, với trụ sở chính ở Hà Nội. Theo giới thiệu trên trang web của mình, công ty 3C "chuyên cung cấp thiết bị, phần mềm và tổ chức mạng máy tính, quản trị, bảo mật mạng, lưu dữ liệu". Bộ gõ VietKey 2007 được cung cấp như một phần của dịch vụ hỗ trợ khách hàng của công ty.

    Screenshot.png
    Sophos báo phát hiện Mal/VBot-A...

    Cho đến thời điểm 13h30 ngày 05/05/2010, Dân Luận vẫn tải được xuống bộ gõ VietKey 2007 có chứa mã độc trên trang web của 3C. Khi gỡ nén và cài đặt vào máy, chương trình chống virus lập tức thông báo phát hiện "Mal/VBot-A". Mal/VBot-A, hay còn được biết đến dưới tên W32/Vulcanbot [McAfee đặt] hay Backdoor:Win32/VBbot.V [Microsoft đặt], chính là mã độc được gắn vào bộ gõ VPSkeys do McAfee phát hiện trước đây.

    Điều này lý giải tại sao tin tặc có thể tạo được một mạng botnet lớn để tấn công các trang web lề trái, với nhiều IP đến từ Việt Nam. Theo thành viên Wasabi, diễn đàn tnxm.net: "Thì ra không phải là cái VPSKey kia. Chính là ông Vietkey này. Em bảo quái lạ, cái VPSKey đấy có ma dùng mà sao lắm botnet thế, mà cái tập tin đó chỉ bị nhiễm trong 2 tháng. Mà hơn nữa nếu VPSKey bị nhiễm thì IP sẽ không phải là IP của Việt Nam chứ, vì thị phần ở Việt Nam của cái VPSKey đấy trong nước làm đếch gì có. Doesn't make sense". Nói cách khác, VPSkey không phải là nguồn duy nhất, và cũng không phải là con đường chính mà tin tặc sử dụng để phát tán mã độc.

    Có lý do để tin rằng công ty 3C không cố tình trong vụ này, bởi là một công ty kinh doanh trong lĩnh vực công nghệ tin học và viễn thông, điều này đồng nghĩa với vứt uy tín của mình qua cửa sổ. Có thể tin tặc đã lợi dụng lỗ hổng bảo mật của máy chủ để thay thế phần mềm sạch bằng phần mềm độc hại, giống như trường hợp của VPSkey. Dù trong trường hợp nào, công ty 3C cũng cần nhanh chóng gỡ bỏ phần mềm chứa virus, thông báo cho khách hàng của mình về khả năng máy họ đã nhiễm virus, và cung cấp những trợ giúp cần thiết để loại bỏ loại virus này.

    Cho đến lúc này, đợt tấn công từ chối dịch vụ vào X-cafevn.org và Dân Luận vẫn tiếp tục, tuy với cường độ thấp hơn. Chúng tôi dự tính cường độ này có thể tăng lên vào ngày 11/5 tới, khi phiên tòa phúc thẩm các nhà bất đồng chính kiến Lê Công Định, Nguyễn Tiến Trung, Trần Huỳnh Duy Thức, Lê Thăng Long diễn ra ở Hà Nội. Đợt tấn công từ chối dịch vụ trước bắt đầu đúng ngày 20/1/2010, trùng với phiên tòa sơ thẩm. Trong trường hợp không truy cập được DanLuan.org, xin mời độc giả đọc blog Dân Luận: http://danluan.wordpress.comhttp://danluanvn.blogspot.com.

    Chủ đề: Pháp luật

    Hãy chia sẻ suy nghĩ của bạn

    8 phản hồi

    Phản hồi: 

    Thông báo từ 3C
    Nguồn: http://3c.com.vn/Story/vn/tintucvasukien/tintuc3c/tinhoatdong/2010/5/615...

    Vừa qua, một số bạn tải chương trình Vietkey2007 (và một số tiện ích khác) từ website của chúng tôi thông báo rằng có thể các phần mềm này bị nhiễm mã độc và lây lan lên máy người dùng khi cài đặt nó.

    Để đảm bảo an toàn cho người dùng, chúng tôi tạm thời loại bỏ một số tiện ích phần mềm được đưa lên site 3c.com.vn từ trước.

    Việc một số phần mềm trên site 3c.com.vn có bị nhiễm mã độc từ ngay khi được đưa lên không và nhiễm vào thời gian nào là điều đang được chúng tôi tìm hiểu.

    Nếu thực sự các tiện ích phần mềm được đưa lên site 3c.com.vn bị nhiễm mã độc và lây lan cho máy tính của người dùng thì đó là một điều đáng tiếc và chúng tôi thành thật xin lỗi vì điều này. Ngay khi nhận được sự phản hồi từ phía người dùng chúng tôi đã lập tức loại bỏ chúng. Rất mong sự thông cảm của các bạn.

    Các bạn có thể tải phần mềm BKAV bản miễn phí tại đây để quét máy tính của mình xem có bị nhiễm một số mã độc hay không và xác định những thành phần bị nhiễm để xác thực nguồn gốc lây nhiễm.

    Chúng tôi khuyến khích các bạn sử dụng bộ gõ Unikey thay thế cho Vietkey2007. Tải về bộ gõ này từ đây.

    Phản hồi: 

    [quote=Admin][quote=Khách]Sao cái Pic trên kia báo virus ở file nào đó, có phải của Viet Key đâu[/quote]

    Khi cài đặt VietKey 2007 lấy từ trang web của 3C, thì chương trình cài đặt tạo ra hai tập tin sau:

    - AdobeUpdate.exe
    - TableTextService.exe

    Hình trên là phần mềm diệt virus báo có mã độc trong tập tin AdobeUpdate.exe.[/quote]

    Cóp nhặt trên mạng internet :

    Cái malware ẩn nấp trong AdobeUpdate.exe này do Bkis của VN "khám phá" ra đấy, thực hành overwrite, giả dạng update của vài nhu liệu :

    http://blog.bkis.com/en/malware-faking-adobe-update/

    Bkis có nhiều nhân tài đấy.
    Chủ yếu là windows bị dính với updat cho Adobe và java

    Sau khi cài đặt trên PC, phần mềm độc hại kích hoạt động trên các dịch vụ DHCP client (Dynamic Host Configuration Protocol), DNS client (Domain Name System), chia sẻ mạng (chủ yếu những dịch vụ đã được phát động) và mở một cổng để nhận lệnh.

    jboss

    Phản hồi: 

    [quote=Khách]Sao cái Pic trên kia báo virus ở file nào đó, có phải của Viet Key đâu[/quote]

    Khi cài đặt VietKey 2007 lấy từ trang web của 3C, thì chương trình cài đặt tạo ra hai tập tin sau:

    - AdobeUpdate.exe
    - TableTextService.exe

    Hình trên là phần mềm diệt virus báo có mã độc trong tập tin AdobeUpdate.exe.

    Phản hồi: 

    VietKey 2007 trên trang freewebforyou.com có kích thước 570,5 KB, trong khi trên trang 3C là 740,0 KB. Tôi đã thử chạy bản VietKey 2007 trên máy ảo, đúng là không thấy báo có Mal/VBot-A. Cũng hi vọng là chỉ có đường dẫn 3c.com.vn là có vấn đề, những ai tải xuống từ đó cần kiểm tra máy thật cẩn thận...

    Phản hồi: 

    1) Nếu nhấn (click) cái ủl nêu trên của 3c :
    http://www.3c.com.vn/Story/vn/hotrokhachhang/traodoikinhnghiem/legtiengv...

    thì nhận được cảnh báo của proxy :
    "... its content categorization: < Suspicious >"

    2) Ngược lại không có vấn đề để tải và mở gói rar đối với url sau :

    http://freewebforyou.com/phan-mem-mien-phi/27-bo-go-tieng-viet-vietkey20...

    Tôi cài đặt Viet Key 2007 (VKey07_Setup) cũng không (chưa) thấy có vấn đề

    3) Như vậy có thể tạm kết luận là cái đường dẫn của 3c.com.vn nêu trên là có vấn đề

    jboss