金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
病毒名:Win32.troj.profiteer.271360
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
文件大小:265 KB (271,360 字节)加壳类型:无编写语言:Microsoft Visual C++ 6.0感染环境:Win 9X/ME/NT/2000/XP/2003 撰写日期:2008年11月14日 简介
行为分析:
这是一个恶意修改工具。它属于木马的范畴,专门针对Thinkpad笔记本而设计,该毒能将低配置Thinkpad水货机甚至冒牌机的硬件配置数据修改得和高配置的正品行货一样。毒霸反病毒工程师的检查后发现,借助它的帮助,奸商们可以对从T43开始、到酷睿2时代的T60进行换芯仿冒。金山毒霸强烈建议使用上述机型的用户尽快对自己的电脑进行检查。
: 金山毒霸
: 金山毒霸
: 金山毒霸
影响系统:
Win9x,WinMe,Linux
简介:
文件大小:265 KB (271,360 字节)加壳类型:无编写语言:Microsoft Visual C++ 6.0感染环境:Win 9X/ME/NT/2000/XP/2003 撰写日期:2008年11月14日 简介
行为分析:
这是一个恶意修改工具。它属于木马的范畴,专门针对Thinkpad笔记本而设计,该毒能将低配置Thinkpad水货机甚至冒牌机的硬件配置数据修改得和高配置的正品行货一样。毒霸反病毒工程师的检查后发现,借助它的帮助,奸商们可以对从T43开始、到酷睿2时代的T60进行换芯仿冒。金山毒霸强烈建议使用上述机型的用户尽快对自己的电脑进行检查。
描述:
文件大小:265 KB (271,360 字节)加壳类型:无编写语言:Microsoft Visual C++ 6.0感染环境:Win 9X/ME/NT/2000/XP/2003
撰写日期:2008年11月14日
简介
发现有一批使用Thinkpad笔记本的用户,存在smssa.exe和smssb.exe,当关闭进程后,cpu频率显示异常,都比原始频率低,进过检测,其CPU被换,进过调查Thinkpad笔记本从T43开始到酷睿2时代的T60,已经有多个型号以多种形式被换芯,并通过刷bios和利用smssa.exe来进行掩盖。一般使用中,你不会发现换芯的笔记本与正常的有何区别。看系统属性,CPU信息正常、频率也正常,笔记本在一般使用中,因为Intel的 Speedstep技术还会降频,性能上也感觉不到多大差异。
出现问题的笔记本有以下共性:
都存在smssa.exe和smssb.exe两个进程,关闭后cpu频率降低。
在Bios中cpu显示正常,但其版本日期都为05年11月7日。
在smssa.Exe和smssb.Exe进程运行状态下,通过cpu-z等检测工具检测出来的值 都为修改后的值,且cpu信息那栏不停的闪动。
大多数问题都出现在水货Thinkpad笔记本。
原因分析
涉及文件
%sys32dir%smssa.Exe
%sys32dir%smssb.Exe
C:DOCUME~1ALLUSE~1「开始~1程序启动SMSSA.EXE
C:DOCUME~1ALLUSE~1Startm~1ProgramsStartupSMSSA.EXE(英文版)
%windir%WINHLP32.EXE
涉及启动注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下 的System键值和Userinit键值。
具体细节(该样本是将cpu频率为1.4改为2.0)
创建互斥体“smss ter sys”,并判断是否存在,存在退出。
读取注册表
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystem下SystemBiosDate键值,获 取当前bios的日期。判断是不是11/07/05(05年11月7日,说明这个Bios版本 更早,估计主版也被替换),不是退出。
c)通过GetSystemDirectoryA获取目录,并判断是否为"c:windowssystem",是 则不检测bios的日期。(估计是判断9x系统,9x系统下没有SystemBiosDate键 值)
d)通过cpuid获得当前cpu的真实频率,并比较是否为替换芯的频率1.4,不是则 退出。
e)修改注册表
修改HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor� 下的~MHz键值,将其改为0x000007D0(2000)
将ProcessorNameString键值写入"Intel(R) Pentium(R) M processor
2.00GHz"
修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
Session ManagerMemory ManagementPrefetchParameters下的
EnablePrefetcher键值默认为3,改为1,目的是减少预读,减少进度条等待时间。
修改HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
Winlogon下的Userinit键值,在其后添加"smssb.exe,"
修改System键值,改为"C:WINDOWSsystem32smssa.exe"
f)复制文件
将C:DOCUME~1ALLUSE~1「开始~1程序启动SMSSA.EXE(英文版为 C:DOCUME~1ALLUSE~1Startm~1ProgramsStartupSMSSA.EXE)复制到 %sys32dir%smssa.Exe和%sys32dir%smssb.Exe。
将"C:WINDOWSWINHLP32.EXE"拷贝到%sys32dir%smssa.Exe和 %sys32dir%smssb.Exe。
(C:WINDOWSWINHLP32.EXE和启动目录下的同为一个文 件,且dllcache目录 下WINHLP32.EXE正常,系统文件保护被关闭)
g)添加标记文件,循环改写窗口
查找"C:WINLOGO.ini",没找到将c:windowssystem32append.Exe(为正常 文件)拷贝过去,并提权到"SeShutdownPrivilege",调ExitWindowsEx重启 系统。 找到"C:WINLOGO.ini",则遍历所有窗口。
发现有一下窗口信息则通过PostMessageA发送WM_QUIT消息
"ASTRA32 - Advanced "
"AIDA32 - Enterprise "
"Windows优化大师显示卡和内存"
"WCPUID / CPU "
"Clear Info"
发现有一下窗口信息则通过PostMessageA发送WM_CLOSE消息
"FlashUpdate (1/4)"
"CPU Monitor"
"ThunderRT6FormDC"
"CPUInfo "
"THauptForm"
"GCPUID "
"EVEREST "
"FreshDiagnose"
"DVD信息 属性"
"Log Console"
发现一下窗口信息则通过SetWindowTextA进行改写
"CPU-Z"
"英特尔(R) 处理器频率 ID"
"英特尔(R) 处理器标识实用程序"
"Intel(R) Processor Frequency"
"Intel(R) Processor Identification"
"DirectX Diagnostic Tool"
"CrystalCPUID "
解决方案
(特别注明:清理专家要写扩展才能处理个问题,目前正在开发中,有扩展测试会麻烦很多,估计下击才能出。暂时用清理专家搞不定这个问题)
使用金山系统急救箱安装后重启就能解决问题。
使用毒霸的升级到最新,可以查杀。
手工删除
a)文件
删除
%sys32dir%smssa.Exe
%sys32dir%smssb.Exe
C:DOCUME~1ALLUSE~1「开始~1程序启动SMSSA.EXE
C:DOCUME~1ALLUSE~1Startm~1ProgramsStartupSMSSA.EXE(英文版)
将dllcache目录下WINHLP32.EXE文件替换%windir%WINHLP32.EXE文件
b)注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
Winlogon
将Userinit键值中"smssb.exe,"字符串去掉。
删除System键值
文件大小:265 KB (271,360 字节)加壳类型:无编写语言:Microsoft Visual C++ 6.0感染环境:Win 9X/ME/NT/2000/XP/2003
撰写日期:2008年11月14日
简介
发现有一批使用Thinkpad笔记本的用户,存在smssa.exe和smssb.exe,当关闭进程后,cpu频率显示异常,都比原始频率低,进过检测,其CPU被换,进过调查Thinkpad笔记本从T43开始到酷睿2时代的T60,已经有多个型号以多种形式被换芯,并通过刷bios和利用smssa.exe来进行掩盖。一般使用中,你不会发现换芯的笔记本与正常的有何区别。看系统属性,CPU信息正常、频率也正常,笔记本在一般使用中,因为Intel的 Speedstep技术还会降频,性能上也感觉不到多大差异。
出现问题的笔记本有以下共性:
都存在smssa.exe和smssb.exe两个进程,关闭后cpu频率降低。
在Bios中cpu显示正常,但其版本日期都为05年11月7日。
在smssa.Exe和smssb.Exe进程运行状态下,通过cpu-z等检测工具检测出来的值 都为修改后的值,且cpu信息那栏不停的闪动。
大多数问题都出现在水货Thinkpad笔记本。
原因分析
涉及文件
%sys32dir%smssa.Exe
%sys32dir%smssb.Exe
C:DOCUME~1ALLUSE~1「开始~1程序启动SMSSA.EXE
C:DOCUME~1ALLUSE~1Startm~1ProgramsStartupSMSSA.EXE(英文版)
%windir%WINHLP32.EXE
涉及启动注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下 的System键值和Userinit键值。
具体细节(该样本是将cpu频率为1.4改为2.0)
创建互斥体“smss ter sys”,并判断是否存在,存在退出。
读取注册表
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystem下SystemBiosDate键值,获 取当前bios的日期。判断是不是11/07/05(05年11月7日,说明这个Bios版本 更早,估计主版也被替换),不是退出。
c)通过GetSystemDirectoryA获取目录,并判断是否为"c:windowssystem",是 则不检测bios的日期。(估计是判断9x系统,9x系统下没有SystemBiosDate键 值)
d)通过cpuid获得当前cpu的真实频率,并比较是否为替换芯的频率1.4,不是则 退出。
e)修改注册表
修改HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor� 下的~MHz键值,将其改为0x000007D0(2000)
将ProcessorNameString键值写入"Intel(R) Pentium(R) M processor
2.00GHz"
修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
Session ManagerMemory ManagementPrefetchParameters下的
EnablePrefetcher键值默认为3,改为1,目的是减少预读,减少进度条等待时间。
修改HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
Winlogon下的Userinit键值,在其后添加"smssb.exe,"
修改System键值,改为"C:WINDOWSsystem32smssa.exe"
f)复制文件
将C:DOCUME~1ALLUSE~1「开始~1程序启动SMSSA.EXE(英文版为 C:DOCUME~1ALLUSE~1Startm~1ProgramsStartupSMSSA.EXE)复制到 %sys32dir%smssa.Exe和%sys32dir%smssb.Exe。
将"C:WINDOWSWINHLP32.EXE"拷贝到%sys32dir%smssa.Exe和 %sys32dir%smssb.Exe。
(C:WINDOWSWINHLP32.EXE和启动目录下的同为一个文 件,且dllcache目录 下WINHLP32.EXE正常,系统文件保护被关闭)
g)添加标记文件,循环改写窗口
查找"C:WINLOGO.ini",没找到将c:windowssystem32append.Exe(为正常 文件)拷贝过去,并提权到"SeShutdownPrivilege",调ExitWindowsEx重启 系统。 找到"C:WINLOGO.ini",则遍历所有窗口。
发现有一下窗口信息则通过PostMessageA发送WM_QUIT消息
"ASTRA32 - Advanced "
"AIDA32 - Enterprise "
"Windows优化大师显示卡和内存"
"WCPUID / CPU "
"Clear Info"
发现有一下窗口信息则通过PostMessageA发送WM_CLOSE消息
"FlashUpdate (1/4)"
"CPU Monitor"
"ThunderRT6FormDC"
"CPUInfo "
"THauptForm"
"GCPUID "
"EVEREST "
"FreshDiagnose"
"DVD信息 属性"
"Log Console"
发现一下窗口信息则通过SetWindowTextA进行改写
"CPU-Z"
"英特尔(R) 处理器频率 ID"
"英特尔(R) 处理器标识实用程序"
"Intel(R) Processor Frequency"
"Intel(R) Processor Identification"
"DirectX Diagnostic Tool"
"CrystalCPUID "
解决方案
(特别注明:清理专家要写扩展才能处理个问题,目前正在开发中,有扩展测试会麻烦很多,估计下击才能出。暂时用清理专家搞不定这个问题)
使用金山系统急救箱安装后重启就能解决问题。
使用毒霸的升级到最新,可以查杀。
手工删除
a)文件
删除
%sys32dir%smssa.Exe
%sys32dir%smssb.Exe
C:DOCUME~1ALLUSE~1「开始~1程序启动SMSSA.EXE
C:DOCUME~1ALLUSE~1Startm~1ProgramsStartupSMSSA.EXE(英文版)
将dllcache目录下WINHLP32.EXE文件替换%windir%WINHLP32.EXE文件
b)注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
Winlogon
将Userinit键值中"smssb.exe,"字符串去掉。
删除System键值
回复
评论病毒
