Đây là trojan Vb.AQT (hay virus FakeRecycled.AQT!tr, Recycled.20480, nhiều tên khác).
Nguyên tắc hoạt động của nó như sau:
Tạo các thư mục và tệp tin sau trên các thiết bị lưu trữ như đĩa mềm, usb, đĩa cứng:
[Tên ổ đĩa]:\autorun.inf
[Tên ổ đĩa]:\Recycled\desktop.ini
[Tên ổ đĩa]:\Recycled\INFO2
- Tạo một bản sao của chính nó ở [Tên ổ đĩa]:\Recycled\Recycled\ctfmon.exe
- Tạo các file ctfmon.exe và desktop.ini trong thư mục Startup của Windows
- Thực hiện các hành vi giống như trên nhưng với tên thư mục khác là RECYCLER
Tiến trình ctfmon.exe sẽ luôn chạy nên cho dù ta có xóa cả thư mục RECYCLER và file Autorun.inf thì nó cũng xuất hiện trở lại.
Để diệt được con virus này, ta tải phần mềm diệt virus AVG Antivirus tại đây:
File cài đặt:
http://free.avg.com/ww.download?prd=afe#tba2Các file Update:
http://free.avg.com/ww.download?prd=afe#tba4Sau khi tải hết về, ta chạy file Setup để cài đặt.
Khi đã cài đặt thành công, ta chạy AVG Antivirus lên, vào menu Tool > Update From Directory
dẫn đến thư mục chứa các file update đã tải > OK > Update Now.
Khi tiến trình cập nhật hoàn tất, ta chọn Scan All Computer để diệt virus trên toàn hệ thống.
Khi đã diệt xong, ta xóa hết các file Autorun.inf và thư mục RECYCLER trong các ổ đĩa nữa là hoàn tất.
Note: Thư mục System Volume Information là thư mục chứa thông tin hệ thống, đôi khi virus cũng lợi dụng để tự nhân bản và ẩn nấp trong này, nhưng khi đã diệt xong virus thì thôi, không nên xóa thư mục này.
