Title: ctfmon.exe, onde mora o perigo
Post by: Slinack on 27 de December , 2007, 01:57:32 PM
Post by: Slinack on 27 de December , 2007, 01:57:32 PM
[vírus] ctfmon.exe
Ao instalar qualquer versão do office no XP ou Vista, você está instalando também um aplicativo chamado Ctfmon.exe.
O Ctfmon é o responsável pelos recursos de fala (transcrição voz-texto), além dos recursos de tradução inter-línguas, recursos de acessibilidade de texto, etc.
O Ctfmon é a prova viva de que a integração de outros aplicativos microsoft com o sistema operacional é muito grande, ao ponto de atrapalhar ou se tornar uma falha de segurança de enormes proporções.
Uma vez instalado o Office, é IMPOSSÍVEL desinstalar (desinstalar por um método de desinstalação seguro) o ctfmon. Ele carrega toda vez que você inicia o sistema ou alguma aplicação do office que utiliza os recursos dele. Também não é possível desativar o ctfmon, apenas desativar os recursos dele de forma que ele não seja requisitado para iniciar com freqüência.
Se você deleta o ctfmon, ele é levado para recycled\ctfmon.exe no modo invisível (você não pode excluir), de forma que ele é persistente e vai ser restaurado e carregado no próximo logon no windows. Ele também fica alojado no dllcache (iniciar executar dllcache) e é chamado por diversos dlls do windows. Ele também é armazenado em uma zona de memória segura, para ser restaurado no próximo logon.
Bem, tudo isso ainda faz parte do ctfmon do office, que por si só não é um vírus, mas um incomodo imenso, já que ele pode consumir muitas vezes grandes recursos do sistema.
Só que alguém percebeu que o ctfmon já tem todos os recursos de proteção padrão do windows, então pegou e fez um vírus com o nome ctfmon.exe, substitui na pasta system, e voilá! Nada mais precisou ser feito, o windows já cuida para que seu vírus esteja bem seguro.
O método de propagação do Ctfmon é curioso.
Toda vez que uma nova unidade lógica é inserida ou modificada no windows, ele tenta ler um arquivo autorun.inf nessa unidade.
Uma vez executado o ctfmon (quando você abre o word ou excel tendo o vírus no computador sem saber, por exemplo). Ele escreve no registro uma instrução Open (O) no shell do explorer, de forma que quando você clica 2 vezes numa unidade para abrir seu conteúdo essa é a operação padrão, e você cria nessa unidade um arquivo autorun.inf e uma cópia invisível do ctfmon.exe, de forma que é assim que ele se propaga.
Por exemplo:
Caso 1: Você não tem o vírus
Você coloca um CD no drive de CD, vai em meu computador, abre o drive de CD com um duplo clique.
Caso 1.1: Você não tem o vírus, mas vai pegar agora.
Você coloca um CD infectado com o ctfmon no drive, então o windows vai ler e executar as instruções de autorun.inf, mesmo que o recurso de autorun esteja desabilitado
Caso 2: Você tem o vírus
Assim que colocar um cd no drive de cd o ctfmon vai tentar ver se existe outra cópia do ctfmon nele. Se você tem uma gravadora de CD/DVD ele vai se adicionar no buffer de gravação.
O Ctfmon se propaga ainda mais facilmente através de pastas compartilhadas (incluíndo pastas compartilhadas do msn, etc) através de dispositivos de armazenamento USB, etc.
Detectando o Vírus
Para determinar se você está infectado, basta olhar esses comportamentos do ctfmon:
-Veja se ele está sendo inicializado junto com o computador (aperte control + alt + del logo depois de o windows carregar completamente depois de feito o seu logon).
-Vá nos drives d:, e:, f: em meu computador e aperte o botão direito. Veja se aparece uma opção Open(O), mesmo seu windows estando em português e existindo a opção abrir (que é reconfigurada para não ser mais o padrão).
-Passe um anti-vírus, anti-spyware, etc.
Se você está infectado, que medidas tomar para evitar que o vírus se propague:
- No meu computador, não entre diretamente (através de duplo clique ou enter) no drive, use o botão direito mais a opção abrir.
Removendo o Vírus
Quase todos os anti-vírus do mercado identificam o ctfmon, mas poucos conseguem removê-lo realmente e acabar com todos os seus danos. O objetivo principal do ctfmon é ser um keylogger (ele grava os dados que você digita e transmite pela internet). Esse efeito é facilmente removível usando um Antivírus + Firewall.
A pasta padrão de local do vírus ctfmon é %systemroot%\system32 (geralmente c:\windows\system32).
Para remover o vírus os seguintes passos devem ser tomados:
Apagar o arquivo ctfmon.exe do diretório %systemroot%/system32
iniciar -> executar -> dllcache
apague o ctfmon.exe do dllcache
Use um antivírus bom para apagar os registros do ctfmon no registro do windows (ou faça manualmente usando regedit em executar e procurando por execuções de ctfmon.exe no registro e apagando.)
-use um shredder no diretório x:\recycled onde x é cada unidade do seu computador. Isso vai "limpar de fato a lixeira" de forma que os arquivos de lá não voltem mais.
-vá em iniciar -> executar:
Regsvr32 /u msimtf.dll
Regsvr32 /u msimtf.dll
Comentários finais (do Autor)
Se você tem mais de uma conta de usuário, entao o ctfmon se registrou em cada uma delas com um código diferente na hkey_user e current_user. você deve logar em todas as contas e removê-lo dessas chaves.
Recomendações gerais da microsoft sobre o ctfmon:
http://support.microsoft.com/kb/282599/pt-br (http://support.microsoft.com/kb/282599/pt-br)
(Nesse artigo eles não comentam a utilização do ctfmon como vírus, mas era já de se esperar que eles não fossem querer alardear uma falha gravíssima de sistema dessas. O office não tem o direito de se integrar ao sistema operacional dessa maneira.)
Créditos: Ronaldo
---
Assim que li este texto pensei em postar aqui no DK...
Pedi a autorização do autor,
mas fiquei um tempão pensando em um título legal pro tópico...
(Quase uma semana)
Mas é isso... E se não me engano,
meu antigo computador devia tar infectado com um ctfmon.exe adulterado...
Pena que não li esta matéria na época ^^
Ao instalar qualquer versão do office no XP ou Vista, você está instalando também um aplicativo chamado Ctfmon.exe.
O Ctfmon é o responsável pelos recursos de fala (transcrição voz-texto), além dos recursos de tradução inter-línguas, recursos de acessibilidade de texto, etc.
O Ctfmon é a prova viva de que a integração de outros aplicativos microsoft com o sistema operacional é muito grande, ao ponto de atrapalhar ou se tornar uma falha de segurança de enormes proporções.
Uma vez instalado o Office, é IMPOSSÍVEL desinstalar (desinstalar por um método de desinstalação seguro) o ctfmon. Ele carrega toda vez que você inicia o sistema ou alguma aplicação do office que utiliza os recursos dele. Também não é possível desativar o ctfmon, apenas desativar os recursos dele de forma que ele não seja requisitado para iniciar com freqüência.
Se você deleta o ctfmon, ele é levado para recycled\ctfmon.exe no modo invisível (você não pode excluir), de forma que ele é persistente e vai ser restaurado e carregado no próximo logon no windows. Ele também fica alojado no dllcache (iniciar executar dllcache) e é chamado por diversos dlls do windows. Ele também é armazenado em uma zona de memória segura, para ser restaurado no próximo logon.
Bem, tudo isso ainda faz parte do ctfmon do office, que por si só não é um vírus, mas um incomodo imenso, já que ele pode consumir muitas vezes grandes recursos do sistema.
Só que alguém percebeu que o ctfmon já tem todos os recursos de proteção padrão do windows, então pegou e fez um vírus com o nome ctfmon.exe, substitui na pasta system, e voilá! Nada mais precisou ser feito, o windows já cuida para que seu vírus esteja bem seguro.
O método de propagação do Ctfmon é curioso.
Toda vez que uma nova unidade lógica é inserida ou modificada no windows, ele tenta ler um arquivo autorun.inf nessa unidade.
Uma vez executado o ctfmon (quando você abre o word ou excel tendo o vírus no computador sem saber, por exemplo). Ele escreve no registro uma instrução Open (O) no shell do explorer, de forma que quando você clica 2 vezes numa unidade para abrir seu conteúdo essa é a operação padrão, e você cria nessa unidade um arquivo autorun.inf e uma cópia invisível do ctfmon.exe, de forma que é assim que ele se propaga.
Por exemplo:
Caso 1: Você não tem o vírus
Você coloca um CD no drive de CD, vai em meu computador, abre o drive de CD com um duplo clique.
Caso 1.1: Você não tem o vírus, mas vai pegar agora.
Você coloca um CD infectado com o ctfmon no drive, então o windows vai ler e executar as instruções de autorun.inf, mesmo que o recurso de autorun esteja desabilitado
Caso 2: Você tem o vírus
Assim que colocar um cd no drive de cd o ctfmon vai tentar ver se existe outra cópia do ctfmon nele. Se você tem uma gravadora de CD/DVD ele vai se adicionar no buffer de gravação.
O Ctfmon se propaga ainda mais facilmente através de pastas compartilhadas (incluíndo pastas compartilhadas do msn, etc) através de dispositivos de armazenamento USB, etc.
Detectando o Vírus
Para determinar se você está infectado, basta olhar esses comportamentos do ctfmon:
-Veja se ele está sendo inicializado junto com o computador (aperte control + alt + del logo depois de o windows carregar completamente depois de feito o seu logon).
-Vá nos drives d:, e:, f: em meu computador e aperte o botão direito. Veja se aparece uma opção Open(O), mesmo seu windows estando em português e existindo a opção abrir (que é reconfigurada para não ser mais o padrão).
-Passe um anti-vírus, anti-spyware, etc.
Se você está infectado, que medidas tomar para evitar que o vírus se propague:
- No meu computador, não entre diretamente (através de duplo clique ou enter) no drive, use o botão direito mais a opção abrir.
Removendo o Vírus
Quase todos os anti-vírus do mercado identificam o ctfmon, mas poucos conseguem removê-lo realmente e acabar com todos os seus danos. O objetivo principal do ctfmon é ser um keylogger (ele grava os dados que você digita e transmite pela internet). Esse efeito é facilmente removível usando um Antivírus + Firewall.
A pasta padrão de local do vírus ctfmon é %systemroot%\system32 (geralmente c:\windows\system32).
Para remover o vírus os seguintes passos devem ser tomados:
Apagar o arquivo ctfmon.exe do diretório %systemroot%/system32
iniciar -> executar -> dllcache
apague o ctfmon.exe do dllcache
Use um antivírus bom para apagar os registros do ctfmon no registro do windows (ou faça manualmente usando regedit em executar e procurando por execuções de ctfmon.exe no registro e apagando.)
-use um shredder no diretório x:\recycled onde x é cada unidade do seu computador. Isso vai "limpar de fato a lixeira" de forma que os arquivos de lá não voltem mais.
-vá em iniciar -> executar:
Regsvr32 /u msimtf.dll
Regsvr32 /u msimtf.dll
Comentários finais (do Autor)
Se você tem mais de uma conta de usuário, entao o ctfmon se registrou em cada uma delas com um código diferente na hkey_user e current_user. você deve logar em todas as contas e removê-lo dessas chaves.
Recomendações gerais da microsoft sobre o ctfmon:
http://support.microsoft.com/kb/282599/pt-br (http://support.microsoft.com/kb/282599/pt-br)
(Nesse artigo eles não comentam a utilização do ctfmon como vírus, mas era já de se esperar que eles não fossem querer alardear uma falha gravíssima de sistema dessas. O office não tem o direito de se integrar ao sistema operacional dessa maneira.)
Créditos: Ronaldo
---
Assim que li este texto pensei em postar aqui no DK...
Pedi a autorização do autor,
mas fiquei um tempão pensando em um título legal pro tópico...
(Quase uma semana)
Mas é isso... E se não me engano,
meu antigo computador devia tar infectado com um ctfmon.exe adulterado...
Pena que não li esta matéria na época ^^
Title: Re: ctfmon.exe, onde mora o perigo
Post by: Mateus on 27 de December , 2007, 02:23:37 PM
Post by: Mateus on 27 de December , 2007, 02:23:37 PM
Muito bom, merece ponto...sempre fui sismado sobre o cftmon ele sempre carrega aqui no pc eu sempre mato(toda vez que ligo o pc dou CAD e mato uns processos(preguiça de desabilitar os serviços)). o meu não é o virus...mas em muita gente é ^^.
Mateus
Mateus
Title: Re: ctfmon.exe, onde mora o perigo
Post by: Sai on 27 de December , 2007, 04:50:53 PM
Post by: Sai on 27 de December , 2007, 04:50:53 PM
Muito bom.
Gostei do texto.
Gostei do texto.
Title: Re: ctfmon.exe, onde mora o perigo
Post by: Mateus on 27 de December , 2007, 05:02:12 PM
Post by: Mateus on 27 de December , 2007, 05:02:12 PM
por sinal tou terminando de fazer um kl em c# que usa o cftmon pra se auto loadear, dps eu posto o source aqui no darkers ^^
Title: Re: ctfmon.exe, onde mora o perigo
Post by: lcs on 27 de December , 2007, 06:41:11 PM
Post by: lcs on 27 de December , 2007, 06:41:11 PM
haw haw eu to infectado com esse bicho aee. mais sabe eu sempre tive duvisdas sobre esse processo, mais ai me falara que era padrão do windows,
Title: Re: ctfmon.exe, onde mora o perigo
Post by: Froz3nnn on 27 de December , 2007, 07:05:37 PM
Post by: Froz3nnn on 27 de December , 2007, 07:05:37 PM
Muito Bom!
Esse ctfmon.exe sempr eme intrigou.. eu não tinha o virús... ainda bem.
Obrigado!
Esse ctfmon.exe sempr eme intrigou.. eu não tinha o virús... ainda bem.
Obrigado!
Title: Re: ctfmon.exe, onde mora o perigo
Post by: whit3_sh4rk on 27 de December , 2007, 07:55:59 PM
Post by: whit3_sh4rk on 27 de December , 2007, 07:55:59 PM
Ótimo artigo, é um processo comum no Windows porém eu não sabia dessa proteção toda em torno dele.. Isso para quem cria malwares é uma mão na roda, sem ter muito trabalho o próprio SO se encarrega de dificultar a remoção.
[]s
[]s
Title: Re: ctfmon.exe, onde mora o perigo
Post by: lcs on 28 de December , 2007, 05:01:06 PM
Post by: lcs on 28 de December , 2007, 05:01:06 PM
A microsoft tem que dar um jeito nesse assunto, talvez impedir que o arquivo original seja modificado..
Title: Re: ctfmon.exe, onde mora o perigo
Post by: Exter on 30 de December , 2007, 02:08:18 PM
Post by: Exter on 30 de December , 2007, 02:08:18 PM
Eu estava infectado também, mas graças ao excelente tutorial eu já resolvi
Sempre tive duvidas sobre o processo ...
Obrigado
Sempre tive duvidas sobre o processo ...
Obrigado
Title: Re: ctfmon.exe, onde mora o perigo
Post by: demon hyo on 31 de December , 2007, 01:28:55 PM
Post by: demon hyo on 31 de December , 2007, 01:28:55 PM
Lembrem de apagar o ctfmon de pendrives e de CDs/DVDs regraváveis. Ele fica oculto em uma pasta de sistema invisível ao internet explorer chamada recycled, e é ativado pelo autorun.inf nesses dispositivos.
Outros vírus utilizam um sistema semelhante.
Para acessar pastas de sistema ocultas no internet explorer você pode tornar elas visíveis, através do comando
attrib -s -h /s /d *.*
Esse comando torna todas as pastas dentro do diretório raiz atual (onde é digitado o comando no cmd) visíveis até ao explorer do windows.
tente fazer isso nos diretórios-raiz de pendrives e muitos vão se mostrar infectados.
Outros vírus utilizam um sistema semelhante.
Para acessar pastas de sistema ocultas no internet explorer você pode tornar elas visíveis, através do comando
attrib -s -h /s /d *.*
Esse comando torna todas as pastas dentro do diretório raiz atual (onde é digitado o comando no cmd) visíveis até ao explorer do windows.
tente fazer isso nos diretórios-raiz de pendrives e muitos vão se mostrar infectados.
Title: Re: ctfmon.exe, onde mora o perigo
Post by: rodweb on 31 de December , 2007, 09:02:26 PM
Post by: rodweb on 31 de December , 2007, 09:02:26 PM
Haa então é pra isso que esse bixo serve...sempre via ele com um ícone todo estranho e iniciando sozinho...
Bom tópico
Bom tópico
Title: Re: ctfmon.exe, onde mora o perigo
Post by: demon hyo on 01 de January , 2008, 06:32:35 AM
Post by: demon hyo on 01 de January , 2008, 06:32:35 AM
no meu post anterior eu esqueci de dizer que essas pastas e arquivos ficam ocultos ao explorer (meu computador, windows explorer, internet explorer) mesmo que você coloque para exibir arquivos ocultos e de sistema[/b].
O explorer usa um sistema de atributos diferente dos atributos especificados pelo sistema operacional do sistema e não exibe os arquivos identificados como de sistema no attrib. Já através do attrib é possível ver arquivos identificados como ocultos pelo explorer.
O explorer usa um sistema de atributos diferente dos atributos especificados pelo sistema operacional do sistema e não exibe os arquivos identificados como de sistema no attrib. Já através do attrib é possível ver arquivos identificados como ocultos pelo explorer.
Title: Re: ctfmon.exe, onde mora o perigo
Post by: demon hyo on 10 de January , 2008, 12:15:08 AM
Post by: demon hyo on 10 de January , 2008, 12:15:08 AM
Só mais um conselho final, que vale não só para o CTFMON, mas para todos os tipos de vírus que se propagam por mídias removíveis:
Iniciar -> Executar -> GPEDIT.MSC
Configuração do Computador -> Modelos administrativos -> Sistema
Procure "Desativar AutoExecutar" e mude de não-configurado (ou desativado, caso assim esteja por manipuação de algum vírus ou porque você mesmo mexeu nisso antes) para "ativado"
(PS: parece idiota, mais ativado é para desativar o auto-executar...)
Vai aparecer uma caixa de seleção, onde você pode escolher entre desativar a autoexecução apenas em drives de CDs e DVDs ou em todos os drives.
Eu particularmente recomendo desativar em todos os drives.
Uma vez desativado, não mais vai aparecer aquela tela perguntando o que você quer fazer quando inserir um CD, DVD, ou ligar um dispositivo de armazenamento USB ao computador (pendrive, mp3/mp4 player). Não custa nada ir no meu computador e apertar o botão direito no drive e escolher a autoexecução, se assim for conveniente a você.
Iniciar -> Executar -> GPEDIT.MSC
Configuração do Computador -> Modelos administrativos -> Sistema
Procure "Desativar AutoExecutar" e mude de não-configurado (ou desativado, caso assim esteja por manipuação de algum vírus ou porque você mesmo mexeu nisso antes) para "ativado"
(PS: parece idiota, mais ativado é para desativar o auto-executar...)
Vai aparecer uma caixa de seleção, onde você pode escolher entre desativar a autoexecução apenas em drives de CDs e DVDs ou em todos os drives.
Eu particularmente recomendo desativar em todos os drives.
Uma vez desativado, não mais vai aparecer aquela tela perguntando o que você quer fazer quando inserir um CD, DVD, ou ligar um dispositivo de armazenamento USB ao computador (pendrive, mp3/mp4 player). Não custa nada ir no meu computador e apertar o botão direito no drive e escolher a autoexecução, se assim for conveniente a você.
Title: Re: ctfmon.exe, onde mora o perigo
Post by: demon hyo on 10 de January , 2008, 12:24:57 AM
Post by: demon hyo on 10 de January , 2008, 12:24:57 AM
Outro comentário ainda mais geral:
O GPEDIT (gpedit.msc) é o editor de diretivas de grupo do windows.
Diretivas são as regras que regem o funcionamento geral relacionado a um usuário, máquina, grupo de usuários, ou grupo de máquinas.
No GPEDIT você vai encontrar recursos valiosos para configurar seu sistema, de forma a oferecer melhor proteção contra a "inocência" do windows.
Diretivas podem ser aplicadas ao computador, a grupos, ou a usuários. Restrições e permissões aplicadas ao computador são aplicadas a todos os usuários, independente das restrições ou permissões dele.
Se o computador fizer parte de um domínio (rede interna plenamente configurada e funcionando com um servidor) e o windows estiver configurado para fazer parte desse domínio, então as diretivas associadas ao computador são ignoradas (a não ser que estejam especificadas no controlador de domínio).
O GPEDIT (gpedit.msc) é o editor de diretivas de grupo do windows.
Diretivas são as regras que regem o funcionamento geral relacionado a um usuário, máquina, grupo de usuários, ou grupo de máquinas.
No GPEDIT você vai encontrar recursos valiosos para configurar seu sistema, de forma a oferecer melhor proteção contra a "inocência" do windows.
Diretivas podem ser aplicadas ao computador, a grupos, ou a usuários. Restrições e permissões aplicadas ao computador são aplicadas a todos os usuários, independente das restrições ou permissões dele.
Se o computador fizer parte de um domínio (rede interna plenamente configurada e funcionando com um servidor) e o windows estiver configurado para fazer parte desse domínio, então as diretivas associadas ao computador são ignoradas (a não ser que estejam especificadas no controlador de domínio).
Title: Re: ctfmon.exe, onde mora o perigo
Post by: GseH on 10 de January , 2008, 04:59:00 AM
Post by: GseH on 10 de January , 2008, 04:59:00 AM
Muito bom o texto, mas ainda tenho uma duvida...eu tenho ele no system32...mas isso nao quer dizer que estou infectado certo?porque pelo que intendi ele é uma ferramenta do windows que as vezes é infectada...msm assim vou deletar :(
Vlw
Vlw
Title: Re: ctfmon.exe, onde mora o perigo
Post by: rodweb on 10 de January , 2008, 08:46:36 AM
Post by: rodweb on 10 de January , 2008, 08:46:36 AM
Quote from: "GseH"ps:No meu windows eu nao consigo abrir o GPEDIT.MSC fala que nao foi possivel econtrar...eu uso win xp home..alguem pode me ajudar com isso?
Essas ferramentas administrativas do windows tipo gpedit.msc, só estão disponíveis na versão Professional.
Flws...
Title: Re: ctfmon.exe, onde mora o perigo
Post by: demon hyo on 10 de January , 2008, 09:20:08 PM
Post by: demon hyo on 10 de January , 2008, 09:20:08 PM
é uma lástima a microsoft ficar criando versões "sem nada" do sistema operacional. Algumas não permitem configurar absolutamente nada.
Title: Re: ctfmon.exe, onde mora o perigo
Post by: bironet on 11 de January , 2008, 12:52:27 PM
Post by: bironet on 11 de January , 2008, 12:52:27 PM
Ótimo post... Também sempre me senti encomodado com o ctfmon, mas não tinha a mínima idéia do nível de segurança que o rodeia.
Parabéns.
Parabéns.
Title: Essa porra é um tormento
Post by: demon hyo on 11 de January , 2008, 10:16:04 PM
Post by: demon hyo on 11 de January , 2008, 10:16:04 PM
e infecta todos os cds e dvds gravados + os pendrives que foram usados enquanto ele estava ativo.