Phần mềm bộ gõ tiếng Việt phổ biến EVKey vừa ra mắt phiên bản 6.0.4 và ngay lập tức gặp sự cố khi bị nhiều phần mềm diệt virus, bao gồm Windows Defender, ESET và Trend Micro, nhận diện là mã độc. Sự việc đang gây xôn xao trong cộng đồng công nghệ Việt Nam.
EVKey 6.0.4 bị cảnh báo virus
EVKey là bộ gõ tiếng Việt do lập trình viên Lâm Quang Minh phát triển, dựa trên mã nguồn mở của UniKey. Đây là công cụ quen thuộc với nhiều người dùng Windows tại Việt Nam. Tuy nhiên, ngay sau khi phát hành phiên bản 6.0.4, hàng loạt người dùng phản ánh phần mềm bị Windows Defender và các phần mềm diệt virus khác cảnh báo là mã độc.
Trên nhóm J2TEAM Community với hơn 750.000 thành viên, nhiều người cho biết ESET và Trend Micro đã tự động xóa tệp EVKey sau khi tải về. Một người dùng chia sẻ: “ESET báo virus bản x64 rồi trảm luôn. TotalVirus cũng báo đỏ luôn bác ơi”. Hình ảnh kiểm tra trên VirusTotal cho thấy tệp EVKey.zip bị 8/65 công cụ bảo mật đánh dấu là độc hại, với các tên như Trojan:Win32/Suschil, Trojan.W64.Agent và Mal/Generic-S.
Tác giả EVKey lên tiếng
Trả lời người dùng trên Facebook, tài khoản chính thức của EVKey cho biết: “Chịu chết luôn, không biết sao luôn. Chỉ cần sửa source một tí nào đó là sẽ có, lúc thì bị Win32, lúc thì bị Win64…” Điều này cho thấy việc bị nhận diện nhầm không phải lần đầu tiên xảy ra.
Một thành viên khác trong phần bình luận giải thích rằng nguyên nhân có thể đến từ cách thức hoạt động của phần mềm. Bộ gõ sử dụng cơ chế hook dạng IME (Input Method Editor) để can thiệp vào quá trình nhập liệu, tương tự như keylogger, nên dễ bị antivirus hiểu nhầm. Người này gợi ý EVKey nên ký chứng thực ứng dụng (code signing) hoặc chuyển sang mã nguồn mở để tăng độ tin cậy.
Phía EVKey trả lời hài hước rằng việc ký chứng thực phần mềm “cũng chưa”, vì chi phí có thể lên tới khoảng 7 triệu đồng mỗi năm.
Vì sao bộ gõ tiếng Việt dễ bị antivirus hiểu nhầm?
Thực tế, đây không phải câu chuyện mới với các bộ gõ tiếng Việt. EVKey hỗ trợ hai cơ chế hoạt động là Keyboard Hook và IME, cho phép can thiệp trực tiếp vào quá trình nhập liệu trên Windows. Điều này giúp sửa lỗi dấu và tương thích với nhiều ứng dụng, nhưng cũng khiến phần mềm dễ bị các công cụ bảo mật phân tích hành vi (behavior analysis) đánh giá là nguy hiểm.
Các phần mềm độc hại như keylogger thường sử dụng kỹ thuật tương tự để theo dõi thao tác bàn phím. Do đó, chỉ cần một chương trình có khả năng theo dõi bàn phím, can thiệp vào cửa sổ hệ thống hoặc thay đổi mã sau mỗi lần biên dịch, phần mềm diệt virus hoàn toàn có thể đưa ra cảnh báo nhầm (false positive). Hiện tượng này từng xảy ra với nhiều ứng dụng hợp pháp khác. Microsoft cũng thừa nhận tình trạng này và cung cấp quy trình để nhà phát triển gửi yêu cầu xem xét lại các tệp bị đánh dấu nhầm.
Đối với người dùng, việc tiếp tục sử dụng phiên bản EVKey cũ ổn định trong thời gian chờ tác giả khắc phục có thể là lựa chọn an toàn hơn. Dù chỉ là false positive, việc liên tục bị cảnh báo và tự động xóa tệp cài đặt vẫn gây phiền toái trong quá trình sử dụng hàng ngày.
