金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
该病毒是将cpu频率为1.4改为2.0,并使检测软件失效显示错误信息。 a)创建互斥体“smss ter sys”,并判断是否存在,存在退出。 b)读取注册表
行为分析:
此毒是11月16日发出预警的奸商修改器(Win32.troj.profiteer.271360)的一个独立模块。它能将电脑的CPU频率由1.4改为2.0,并使很多常见的检测软件失效,只能显示伪装过的信息。
:
影响系统:
Win9x,WinMe,Linux
简介:
该病毒是将cpu频率为1.4改为2.0,并使检测软件失效显示错误信息。 a)创建互斥体“smss ter sys”,并判断是否存在,存在退出。 b)读取注册表
行为分析:
此毒是11月16日发出预警的奸商修改器(Win32.troj.profiteer.271360)的一个独立模块。它能将电脑的CPU频率由1.4改为2.0,并使很多常见的检测软件失效,只能显示伪装过的信息。
描述:
该病毒是将cpu频率为1.4改为2.0,并使检测软件失效显示错误信息。
a)创建互斥体“smss ter sys”,并判断是否存在,存在退出。
b)读取注册表
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystem下SystemBiosDate键值,获 取当前bios的日期。判断是不是11/07/05(05年11月7日,说明这个Bios版本 更早,估计主版也被替换),不是退出。
c)通过GetSystemDirectoryA获取目录,并判断是否为"c:windowssystem",是 则不检测bios的日期。(估计是判断9x系统,9x系统下没有SystemBiosDate键 值)
d)通过cpuid获得当前cpu的真实频率,并比较是否为替换芯的频率1.4,不是则 退出。
e)修改注册表
修改HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor� 下的~MHz键值,将其改为0x000007D0(2000)
将ProcessorNameString键值写入"Intel(R) Pentium(R) M processor
2.00GHz"
修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
Session ManagerMemory ManagementPrefetchParameters下的
EnablePrefetcher键值默认为3,改为1,目的是减少预读,减少进度条等待时间。
修改HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
Winlogon下的Userinit键值,在其后添加"smssb.exe,"
修改System键值,改为"C:WINDOWSsystem32smssa.exe"
f)复制文件
将C:DOCUME~1ALLUSE~1「开始~1程序启动SMSSA.EXE(英文版为 C:DOCUME~1ALLUSE~1Startm~1ProgramsStartupSMSSA.EXE)复制到 %sys32dir%smssa.Exe和%sys32dir%smssb.Exe。
将"C:WINDOWSWINHLP32.EXE"拷贝到%sys32dir%smssa.Exe和 %sys32dir%smssb.Exe。
(C:WINDOWSWINHLP32.EXE和启动目录下的同为一个文 件,且dllcache目录 下WINHLP32.EXE正常,系统文件保护被关闭)
g)添加标记文件,循环改写窗口
查找"C:WINLOGO.ini",没找到将c:windowssystem32append.Exe(为正常 文件)拷贝过去,并提权到"SeShutdownPrivilege",调ExitWindowsEx重启 系统。 找到"C:WINLOGO.ini",则遍历所有窗口。
发现有一下窗口信息则通过PostMessageA发送WM_QUIT消息
"ASTRA32 - Advanced "
"AIDA32 - Enterprise "
"Windows优化大师显示卡和内存"
"WCPUID / CPU "
"Clear Info"
发现有一下窗口信息则通过PostMessageA发送WM_CLOSE消息
"FlashUpdate (1/4)"
"CPU Monitor"
"ThunderRT6FormDC"
"CPUInfo "
"THauptForm"
"GCPUID "
"EVEREST "
"FreshDiagnose"
"DVD信息 属性"
"Log Console"
发现一下窗口信息则通过SetWindowTextA进行改写
"CPU-Z"
"英特尔(R) 处理器频率 ID"
"英特尔(R) 处理器标识实用程序"
"Intel(R) Processor Frequency"
"Intel(R) Processor Identification"
"DirectX Diagnostic Tool"
"CrystalCPUID "
该病毒是将cpu频率为1.4改为2.0,并使检测软件失效显示错误信息。
a)创建互斥体“smss ter sys”,并判断是否存在,存在退出。
b)读取注册表
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystem下SystemBiosDate键值,获 取当前bios的日期。判断是不是11/07/05(05年11月7日,说明这个Bios版本 更早,估计主版也被替换),不是退出。
c)通过GetSystemDirectoryA获取目录,并判断是否为"c:windowssystem",是 则不检测bios的日期。(估计是判断9x系统,9x系统下没有SystemBiosDate键 值)
d)通过cpuid获得当前cpu的真实频率,并比较是否为替换芯的频率1.4,不是则 退出。
e)修改注册表
修改HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor� 下的~MHz键值,将其改为0x000007D0(2000)
将ProcessorNameString键值写入"Intel(R) Pentium(R) M processor
2.00GHz"
修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
Session ManagerMemory ManagementPrefetchParameters下的
EnablePrefetcher键值默认为3,改为1,目的是减少预读,减少进度条等待时间。
修改HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
Winlogon下的Userinit键值,在其后添加"smssb.exe,"
修改System键值,改为"C:WINDOWSsystem32smssa.exe"
f)复制文件
将C:DOCUME~1ALLUSE~1「开始~1程序启动SMSSA.EXE(英文版为 C:DOCUME~1ALLUSE~1Startm~1ProgramsStartupSMSSA.EXE)复制到 %sys32dir%smssa.Exe和%sys32dir%smssb.Exe。
将"C:WINDOWSWINHLP32.EXE"拷贝到%sys32dir%smssa.Exe和 %sys32dir%smssb.Exe。
(C:WINDOWSWINHLP32.EXE和启动目录下的同为一个文 件,且dllcache目录 下WINHLP32.EXE正常,系统文件保护被关闭)
g)添加标记文件,循环改写窗口
查找"C:WINLOGO.ini",没找到将c:windowssystem32append.Exe(为正常 文件)拷贝过去,并提权到"SeShutdownPrivilege",调ExitWindowsEx重启 系统。 找到"C:WINLOGO.ini",则遍历所有窗口。
发现有一下窗口信息则通过PostMessageA发送WM_QUIT消息
"ASTRA32 - Advanced "
"AIDA32 - Enterprise "
"Windows优化大师显示卡和内存"
"WCPUID / CPU "
"Clear Info"
发现有一下窗口信息则通过PostMessageA发送WM_CLOSE消息
"FlashUpdate (1/4)"
"CPU Monitor"
"ThunderRT6FormDC"
"CPUInfo "
"THauptForm"
"GCPUID "
"EVEREST "
"FreshDiagnose"
"DVD信息 属性"
"Log Console"
发现一下窗口信息则通过SetWindowTextA进行改写
"CPU-Z"
"英特尔(R) 处理器频率 ID"
"英特尔(R) 处理器标识实用程序"
"Intel(R) Processor Frequency"
"Intel(R) Processor Identification"
"DirectX Diagnostic Tool"
"CrystalCPUID "
回复
评论病毒
