Phân tích tệp tin ImportTool.exe trên trang https://tiemchungcovid19.gov.vn

Qua giám sát an toàn trên không gian mạng chúng tôi phát hiện thông tin từ một số tài khoản MXH nghi ngờ rằng công cụ được cung cấp trên trang https://tiemchungcovid19.gov.vn là một mẫu mã độc.

Thông tin được một tài khoản MXH chia sẻ

Tập tin trên là công cụ nhỏ được thiết kế dành riêng cho các cơ sở Y tế để chuẩn hóa dữ liệu Excel trước khi nhập vào hệ thống, vì tình trạng dữ liệu nhập vào không đồng nhất, một số địa điểm có đăng ký giấy phải nhập liệu thủ công.

Thông tin được các cá nhân này đưa ra dựa vào một số dấu hiệu sau đây:

  • Windows Defender cảnh báo tệp tin có chứa nội dung nghi ngờ là mã độc
  • Đánh giá 9/65 phần mềm duyệt virus trên thế giới nhận định công cụ này là mã độc (nguồn virustotal)
Đánh giá của Virustotal đối với file ImportTool.exe

Tuy nhiên nếu chỉ dựa vào một số thông tin nêu trên để kết luận đây là một tệp tin độc hại thì hoàn toàn chưa đủ căn cứ. Chính vì thế chúng tôi đã tiến hành kiểm tra và phân tích tệp tin này để có được thông tin chính xác nhất.

Dưới đây là một số thông tin cơ bản về tệp tin ImportTool.exe

Thông tin tệp tin ImportTool.exe

Qua kiểm tra, chúng tôi phát hiện đây là một phần mềm được lập trình bằng ngôn ngữ python và được biên dịch bằng Pyinstaller.

Xác định phần mềm được lập trình bằng ngôn ngữ python

Trước đây, có một số mã độc cũng biên dịch từ python để thành tệp tin thực thi độc hại, dẫn tới vấn đề nhận diện nhầm của trình Antivirus, do Antivirus hoạt động phần lớn dựa trên tập luật. Vấn đề nhận diện sai khi sử dụng Pyinstaller đã được đề cập nhiều trên Github cũng như các diễn đàn về Python. Chi tiết xem tại đây.

Để khẳng định nhận định trên chúng tôi thử biên dịch 1 chương trình sample bằng Pyinstaller sau đó đưa lên Virustotal để kiểm tra thì phá hiện 8/67 vendors đánh giá đây là một tệp tin độc hại (chi tiết tại đây). Qua đó có thể thấy do cấu trúc biên dịch, đóng gói một chương trình từ python sang một tệp thực thi duy nhất có nguy cơ cao bị cảnh báo nhầm thành mã độc.

Mã nguồn của sample
Một mã nguồn python đơn giản được biên dịch bằng Pyinstaller

Một số tệp tin thư viện python được sử dụng trong công cụ ImportTool.exe cũng chính là nguyên nhân dẫn đến các công cụ Antivirus đưa ra nhiều hơn các cảnh báo không chính xác về công cụ này. Ví dụ như:

  • fields.cp37-win32.pyd
  • timedeltas.cp37-win32.pyd

Qua những phân tích trên có thể thấy đây hoàn toàn là do các chương trình Antivirus đã vô tình nhận diện sai công cụ này thành một mã độc, tuy nhiên để an toàn hơn cho người dùng, chúng tôi đã thực hiện phân tích sâu hơn về hành vi của chương trình, cụ thể kiểm tra một số thông tin liên quan đến kết nối internet, và một số hoạt động thay đổi thông tin dữ liệu của máy tính và đưa ra một số kết luận như sau:

  • Công cụ không thực hiện các kết nối độc hại trong quá trình người dùng sử dụng
  • Công cụ không thực hiện thay đổi hay tạo thêm các giá trị trong Registry để thực hiện các hành vi độc hại.
  • Công cụ không tạo ra các tệp tin nghi ngờ là mã độc nào khác.
  • Công cụ không thực hiện chạy các phần mềm khác.

Qua những thông tin trên chúng tôi đưa ra kết luận công cụ ImportTool.exe không phải là mã độc như thông tin được đưa ra bởi một số cá nhân trên mạng xã hội Facebook.

Chúng tôi sẽ phân tích tiếp các dữ liệu và cập nhật thêm thông tin nếu có.

Leave a comment

Your email address will not be published. Required fields are marked *