ctfmon.exe, onde mora o perigo

[Slinack]

[vírus] ctfmon.exe
Ao instalar qualquer versão do office no XP ou Vista, você está instalando também um aplicativo chamado Ctfmon.exe.

O Ctfmon é o responsável pelos recursos de fala (transcrição voz-texto), além dos recursos de tradução inter-línguas, recursos de acessibilidade de texto, etc.

O Ctfmon é a prova viva de que a integração de outros aplicativos microsoft com o sistema operacional é muito grande, ao ponto de atrapalhar ou se tornar uma falha de segurança de enormes proporções.


Uma vez instalado o Office, é IMPOSSÍVEL desinstalar (desinstalar por um método de desinstalação seguro) o ctfmon. Ele carrega toda vez que você inicia o sistema ou alguma aplicação do office que utiliza os recursos dele. Também não é possível desativar o ctfmon, apenas desativar os recursos dele de forma que ele não seja requisitado para iniciar com freqüência.

Se você deleta o ctfmon, ele é levado para recycled\ctfmon.exe no modo invisível (você não pode excluir), de forma que ele é persistente e vai ser restaurado e carregado no próximo logon no windows. Ele também fica alojado no dllcache (iniciar executar dllcache) e é chamado por diversos dlls do windows. Ele também é armazenado em uma zona de memória segura, para ser restaurado no próximo logon.

Bem, tudo isso ainda faz parte do ctfmon do office, que por si só não é um vírus, mas um incomodo imenso, já que ele pode consumir muitas vezes grandes recursos do sistema.

Só que alguém percebeu que o ctfmon já tem todos os recursos de proteção padrão do windows, então pegou e fez um vírus com o nome ctfmon.exe, substitui na pasta system, e voilá! Nada mais precisou ser feito, o windows já cuida para que seu vírus esteja bem seguro.

O método de propagação do Ctfmon é curioso.
Toda vez que uma nova unidade lógica é inserida ou modificada no windows, ele tenta ler um arquivo autorun.inf nessa unidade.

Uma vez executado o ctfmon (quando você abre o word ou excel tendo o vírus no computador sem saber, por exemplo). Ele escreve no registro uma instrução Open (O) no shell do explorer, de forma que quando você clica 2 vezes numa unidade para abrir seu conteúdo essa é a operação padrão, e você cria nessa unidade um arquivo autorun.inf e uma cópia invisível do ctfmon.exe, de forma que é assim que ele se propaga.

Por exemplo:

Caso 1: Você não tem o vírus

Você coloca um CD no drive de CD, vai em meu computador, abre o drive de CD com um duplo clique.

Caso 1.1: Você não tem o vírus, mas vai pegar agora.

Você coloca um CD infectado com o ctfmon no drive, então o windows vai ler e executar as instruções de autorun.inf, mesmo que o recurso de autorun esteja desabilitado

Caso 2: Você tem o vírus

Assim que colocar um cd no drive de cd o ctfmon vai tentar ver se existe outra cópia do ctfmon nele. Se você tem uma gravadora de CD/DVD ele vai se adicionar no buffer de gravação.

O Ctfmon se propaga ainda mais facilmente através de pastas compartilhadas (incluíndo pastas compartilhadas do msn, etc) através de dispositivos de armazenamento USB, etc.

Detectando o Vírus
Para determinar se você está infectado, basta olhar esses comportamentos do ctfmon:

-Veja se ele está sendo inicializado junto com o computador (aperte control + alt + del logo depois de o windows carregar completamente depois de feito o seu logon).

-Vá nos drives d:, e:, f: em meu computador e aperte o botão direito. Veja se aparece uma opção Open(O), mesmo seu windows estando em português e existindo a opção abrir (que é reconfigurada para não ser mais o padrão).

-Passe um anti-vírus, anti-spyware, etc.


Se você está infectado, que medidas tomar para evitar que o vírus se propague:

- No meu computador, não entre diretamente (através de duplo clique ou enter) no drive, use o botão direito mais a opção abrir.

Removendo o Vírus
Quase todos os anti-vírus do mercado identificam o ctfmon, mas poucos conseguem removê-lo realmente e acabar com todos os seus danos. O objetivo principal do ctfmon é ser um keylogger (ele grava os dados que você digita e transmite pela internet). Esse efeito é facilmente removível usando um Antivírus + Firewall.

A pasta padrão de local do vírus ctfmon é %systemroot%\system32 (geralmente c:\windows\system32).

Para remover o vírus os seguintes passos devem ser tomados:

Apagar o arquivo ctfmon.exe do diretório %systemroot%/system32

iniciar -> executar -> dllcache

apague o ctfmon.exe do dllcache

Use um antivírus bom para apagar os registros do ctfmon no registro do windows (ou faça manualmente usando regedit em executar e procurando por execuções de ctfmon.exe no registro e apagando.)

-use um shredder no diretório x:\recycled onde x é cada unidade do seu computador. Isso vai "limpar de fato a lixeira" de forma que os arquivos de lá não voltem mais.

-vá em iniciar -> executar:

Regsvr32 /u msimtf.dll
Regsvr32 /u msimtf.dll

Comentários finais (do Autor)
Se você tem mais de uma conta de usuário, entao o ctfmon se registrou em cada uma delas com um código diferente na hkey_user e current_user. você deve logar em todas as contas e removê-lo dessas chaves.

Recomendações gerais da microsoft sobre o ctfmon:

http://support.microsoft.com/kb/282599/pt-br

(Nesse artigo eles não comentam a utilização do ctfmon como vírus, mas era já de se esperar que eles não fossem querer alardear uma falha gravíssima de sistema dessas. O office não tem o direito de se integrar ao sistema operacional dessa maneira.)

Créditos: Ronaldo

---

Assim que li este texto pensei em postar aqui no DK...
Pedi a autorização do autor,
mas fiquei um tempão pensando em um título legal pro tópico...
(Quase uma semana)
Mas é isso... E se não me engano,
meu antigo computador devia tar infectado com um ctfmon.exe adulterado...
Pena que não li esta matéria na época ^^

[Mateus]

Muito bom, merece ponto...sempre fui sismado sobre o cftmon ele sempre carrega aqui no pc eu sempre mato(toda vez que ligo o pc dou CAD e mato uns processos(preguiça de desabilitar os serviços)). o meu não é o virus...mas em muita gente é ^^.


Mateus

[Sai]

Muito bom.
Gostei do texto. 

[Mateus]

por sinal tou terminando de fazer um kl em c# que usa o cftmon pra se auto loadear, dps eu posto o source aqui no darkers ^^

[lcs]

haw haw eu to infectado com esse bicho aee. mais sabe eu sempre tive duvisdas sobre esse processo, mais ai me falara que era padrão do windows,

[Froz3nnn]

Muito Bom!
Esse ctfmon.exe sempr eme intrigou.. eu não tinha o virús... ainda bem.

Obrigado!

[whit3_sh4rk]

Ótimo artigo, é um processo comum no Windows porém eu não sabia dessa proteção toda em torno dele.. Isso para quem cria malwares é uma mão na roda, sem ter muito trabalho o próprio SO se encarrega de dificultar a remoção.

[]s

[lcs]

A microsoft tem que dar um jeito nesse assunto, talvez impedir que o arquivo original seja modificado..

[Exter]

Eu estava infectado também,  mas graças ao excelente tutorial eu já resolvi
Sempre tive duvidas sobre o processo ...


Obrigado

[demon hyo]

Lembrem de apagar o ctfmon de pendrives e de CDs/DVDs regraváveis. Ele fica oculto em uma pasta de sistema invisível ao internet explorer chamada recycled, e é ativado pelo autorun.inf nesses dispositivos.

Outros vírus utilizam um sistema semelhante.

Para acessar pastas de sistema ocultas no internet explorer você pode tornar elas visíveis, através do comando

attrib -s -h /s /d *.*

Esse comando torna todas as pastas dentro do diretório raiz atual (onde é digitado o comando no cmd) visíveis até ao explorer do windows.

tente fazer isso nos diretórios-raiz de pendrives e muitos vão se mostrar infectados.

[rodweb]

Haa então é pra isso que esse bixo serve...sempre via ele com um ícone todo estranho e iniciando sozinho...

Bom tópico

[demon hyo]

no meu post anterior eu esqueci de dizer que essas pastas e arquivos ficam ocultos ao explorer (meu computador, windows explorer, internet explorer) mesmo que você coloque para exibir arquivos ocultos e de sistema[/b].

O explorer usa um sistema de atributos diferente dos atributos especificados pelo sistema operacional do sistema e não exibe os arquivos identificados como de sistema no attrib. Já através do attrib é possível ver arquivos identificados como ocultos pelo explorer.

[demon hyo]

Só mais um conselho final, que vale não só para o CTFMON, mas para todos os tipos de vírus que se propagam por mídias removíveis:

Iniciar -> Executar -> GPEDIT.MSC
Configuração do Computador -> Modelos administrativos -> Sistema
Procure "Desativar AutoExecutar" e mude de não-configurado (ou desativado, caso assim esteja por manipuação de algum vírus ou porque você mesmo mexeu nisso antes) para "ativado"

(PS: parece idiota, mais ativado é para desativar o auto-executar...)

Vai aparecer uma caixa de seleção, onde você pode escolher entre desativar a autoexecução apenas em drives de CDs e DVDs ou em todos os drives.

Eu particularmente recomendo desativar em todos os drives.

Uma vez desativado, não mais vai aparecer aquela tela perguntando o que você quer fazer quando inserir um CD, DVD, ou ligar um dispositivo de armazenamento USB ao computador (pendrive, mp3/mp4 player). Não custa nada ir no meu computador e apertar o botão direito no drive e escolher a autoexecução, se assim for conveniente a você.

[demon hyo]

Outro comentário ainda mais geral:

O GPEDIT (gpedit.msc) é o editor de diretivas de grupo do windows.

Diretivas são as regras que regem o funcionamento geral relacionado a um usuário, máquina, grupo de usuários, ou grupo de máquinas.

No GPEDIT você vai encontrar recursos valiosos para configurar seu sistema, de forma a oferecer melhor proteção contra a "inocência" do windows.

Diretivas podem ser aplicadas ao computador, a grupos, ou a usuários. Restrições e permissões aplicadas ao computador são aplicadas a todos os usuários, independente das restrições ou permissões dele.

Se o computador fizer parte de um domínio (rede interna plenamente configurada e funcionando com um servidor) e o windows estiver configurado para fazer parte desse domínio, então as diretivas associadas ao computador são ignoradas (a não ser que estejam especificadas no controlador de domínio).

[GseH]

Muito bom o texto, mas ainda tenho uma duvida...eu tenho ele no system32...mas isso nao quer dizer que estou infectado certo?porque pelo que intendi ele é uma ferramenta do windows que as vezes é infectada...msm assim vou deletar :(

Vlw