Sự thật về tiến trình tự động chạy CTFMON.EXE

Loại 1: Đây là một dịch vụ của bộ phần mềm Office có nhiệm vụ khởi chạy Alternative User Input Text Input Processor và Office Language Bar. Dịch vụ này giám sát hoạt động nhập liệu của người dùng để cung cấp các phương pháp nhập liệu thích hợp như giọng nói, viết tay, bàn phím. Tiến trình ctfmon.exe sẽ được cài cùng với bộ Office khi bạn chọn Alternative User Input trong Office Shared Features. Để vô hiệu hóa tiến trình này bạn thực hiện như sau (áp dụng với Windows XP Professional): Vào Start Control Panel -...
Nội dung trích xuất từ tài liệu:
Sự thật về tiến trình tự động chạy CTFMON.EXESự thật về tiến trình tự động chạy CTFMON.EXELoại 1: Đây là một dịch vụ của bộ phần mềm Office có nhiệm vụ khởichạy Alternative User Input Text Input Processor và Office Language Bar.Dịch vụ này giám sát hoạt động nhập liệu của người dùng để cung cấp cácphương pháp nhập liệu thích hợp như giọng nói, viết tay, bàn phím. Tiếntrình ctfmon.exe sẽ được cài cùng với bộ Office khi bạn chọn AlternativeUser Input trong Office Shared Features. Để vô hiệu hóa tiến trình này bạnthực hiện như sau (áp dụng với Windows XP Professional): Vào Start -> Control Panel -> Add or Remove Programs, nhấn Microsoft Office vàchọn Change, trong cửa sổ hiện ra, bạn đánh dấu vào ô Choose advancedoptimization of applications rồi nhấn Next, trong cửa sổ tiếp theo bạn tìmđến mục Alternative User Input trong Office Shared Features, nhấn và thayđổi biểu tượng thành hình chữ X (Not available) rồi chọnUpdate.Sau đó bạn trở về Control Panel, chọn Date, Time, Language and RegionalOptions -> Regional and Language Options, nhấn vào thẻ Languages vànhấn Details, trong cửa sổ Text Services and Input Languages hiện ra bạnnhấn vào thẻ Advanced và đánh dấu chọn ô Turn off advanced textservices, nhấnOK. Vậy là ctfmon.exe loại 1 đã ra đi!Loại 2: Đây là trojan Vb.AQT (một số tên khácnhư FakeRecycled.AQT!tr, Recycled.20480). Sau khi được kích hoạt trênmáy tính, nó sẽ thực hiện các hành vi bất chính sau:- Tạo các thư mục và tệp tin sau trên các thiết bị lưu trữ như đĩa mềm, usb,đĩa cứng:[Tên ổ đĩa]:autorun.inf[Tên ổ đĩa]:Recycleddesktop.ini[Tên ổ đĩa]:RecycledINFO2- Tạo một bản sao của chính nó ở [Tên ổđĩa]:RecycledRecycledctfmon.exe- Tạo các file ctfmon.exe và desktop.ini trong thư mục Startup củaWindows- Thực hiện các hành vi giống như trên nhưng với tên thư mục khác làRECYCLERTrojan này cực kỳ mưu mô ở chỗ nếu bạn nhấn đúp vào thư mục Recycledgiả thì sẽ được dẫn đến thư mục Recycled thật ngay. Để thấy được bản chấtbên trong của thư mục này, bạn phải dùng đến một mẹo khác: cài đặt cácphần mềm nén như Winrar, Winzip, mở ổ đĩa tương ứng, nhấn chuột phảilên thư mục Recycled (bạn phải chọn Show hidden files and folders và bỏchọn ở phần Hide protected operating system files trong Folder Options mớithấy được thư mục này), dùng lệnh Compress to... trên menu ngữ cảnh đểtạo một file nén từ thư mục Recycled kể trên, cuối cùng bạn mở file nén đóra và chiêm ngưỡng nội dung bên trong.Các thiết bị lưu trữ bị nhiễm trojan này sẽ gặp tình trạng không thể truy xuấttrực tiếp bằng cách nhấn đúp và bạn phải nhấn chuột phải chọn Explore.Nguy hiểm hơn, theo thông tin trên một số diễn đàn tin học, trojan Vb.AQTcó thể đóng vai trò như một spyware hay keylogger để đánh cắp thông tin cánhân của người dùng.Đừng lo lắng! Bạn có thể dễ dàng diệt trojan này với ba bước như sau:Bước 1: Sử dụng tính năng Search của Windows với các từ khóaRecycled, RECYCLER, INFO2, ctfmon để xác định đường dẫn củacác thư mục và tệp tin tạo ra bởi trojan (bạn nhớ đánh dấu chọn phần Searchhidden files and folders trước khi tìm kiếm). Đường dẫn sẽ giống với miêutả ở phần trên, bạn có thể còn tìm thấy một số đường dẫn đến những thư mụccache của Windows như Prefetch, dllcache...