Tiến trình ctfmon.exe sẽ được cài cùng với bộ Office khi bạn chọn Alternative User Input trong Office Shared Features.. Để vô hiệu hóa tiến trình này bạn thực hiện như sau áp dụng với
Trang 1Sự thật về tiến trình tự động chạy CTFMON.EXE
Loại 1: Đây là một dịch vụ của bộ phần mềm Office có nhiệm vụ khởi
chạy Alternative User Input Text Input Processor và Office Language Bar
Dịch vụ này giám sát hoạt động nhập liệu của người dùng để cung cấp các phương pháp nhập liệu thích hợp như giọng nói, viết tay, bàn phím Tiến
trình ctfmon.exe sẽ được cài cùng với bộ Office khi bạn chọn Alternative
User Input trong Office Shared Features Để vô hiệu hóa tiến trình này bạn
thực hiện như sau (áp dụng với Windows XP Professional): Vào Start
-> Control Panel > Add or Remove Programs, nhấn Microsoft Office và chọn Change, trong cửa sổ hiện ra, bạn đánh dấu vào ô Choose advanced optimization of applications rồi nhấn Next, trong cửa sổ tiếp theo bạn tìm
đến mục Alternative User Input trong Office Shared Features, nhấn và thay
đổi biểu tượng thành hình chữ X (Not available) rồi chọnUpdate
Sau đó bạn trở về Control Panel, chọn Date, Time, Language and Regional Options -> Regional and Language Options, nhấn vào thẻ Languages và nhấn Details, trong cửa sổ Text Services and Input Languages hiện ra bạn nhấn vào thẻ Advanced và đánh dấu chọn ô Turn off advanced text services, nhấnOK Vậy là ctfmon.exe "loại 1" đã ra đi!
Loại 2: Đây là trojan Vb.AQT (một số tên khác
như FakeRecycled.AQT!tr, Recycled.20480) Sau khi được kích hoạt trên
máy tính, nó sẽ thực hiện các "hành vi bất chính" sau:
- Tạo các thư mục và tệp tin sau trên các thiết bị lưu trữ như đĩa mềm, usb, đĩa cứng:
Trang 2[Tên ổ đĩa]:\autorun.inf
[Tên ổ đĩa]:\Recycled\INFO2
- Tạo một bản sao của chính nó ở [Tên ổ đĩa]:\Recycled\Recycled\ctfmon.exe
- Tạo các file ctfmon.exe và desktop.ini trong thư mục Startup của
Windows
- Thực hiện các hành vi giống như trên nhưng với tên thư mục khác là RECYCLER
Trojan này cực kỳ mưu mô ở chỗ nếu bạn nhấn đúp vào thư mục Recycled giả thì sẽ được dẫn đến thư mục Recycled thật ngay Để thấy được "bản chất bên trong" của thư mục này, bạn phải dùng đến một mẹo khác: cài đặt các phần mềm nén như Winrar, Winzip, mở ổ đĩa tương ứng, nhấn chuột phải
lên thư mục Recycled (bạn phải chọn Show hidden files and folders và bỏ chọn ở phần Hide protected operating system files trong Folder Options mới
thấy được thư mục này), dùng lệnh Compress to trên menu ngữ cảnh để
tạo một file nén từ thư mục Recycled kể trên, cuối cùng bạn mở file nén đó
ra và "chiêm ngưỡng" nội dung bên trong
Các thiết bị lưu trữ bị nhiễm trojan này sẽ gặp tình trạng không thể truy xuất
trực tiếp bằng cách nhấn đúp và bạn phải nhấn chuột phải chọn Explore
Trang 3Nguy hiểm hơn, theo thông tin trên một số diễn đàn tin học, trojan Vb.AQT
có thể đóng vai trò như một spyware hay keylogger để đánh cắp thông tin cá
Đừng lo lắng! Bạn có thể dễ dàng diệt trojan này với ba bước như sau:
Bước 1: Sử dụng tính năng Search của Windows với các từ khóa
"Recycled", "RECYCLER", "INFO2", "ctfmon" để xác định đường dẫn của
các thư mục và tệp tin tạo ra bởi trojan (bạn nhớ đánh dấu chọn phần Search
hidden files and folders trước khi tìm kiếm) Đường dẫn sẽ giống với miêu
tả ở phần trên, bạn có thể còn tìm thấy một số đường dẫn đến những thư mục cache của Windows như Prefetch, dllcache