奸商利用病毒技术篡改水货ThinkPad CPU信息

　　发现有一批使用Thinkpad笔记本的用户，存在异常进程smssa.Exe和smssb.Exe。当关闭进程后，CPU频率显示异常，都比关闭前CPU频率降低。经过检测，发现其CPU被换。据查Thinkpad笔记本从T43开始到酷睿2时代的T60，已经有多个型号以多种形式被换芯，并通过刷BIOS和利用smssa.Exe来进行掩盖。一般使用中，你不会发现换芯的笔记本与正常的有何区别。

　　发现有一批使用Thinkpad笔记本的用户，存在异常进程smssa.Exe和smssb.Exe。当关闭进程后，CPU频率显示异常，都比关闭前CPU频率降低。经过检测，发现其CPU被换。据查Thinkpad笔记本从T43开始到酷睿2时代的T60，已经有多个型号以多种形式被换芯，并通过刷BIOS和利用smssa.Exe来进行掩盖。一般使用中，你不会发现换芯的笔记本与正常的有何区别。看系统属性，CPU信息正常、频率也正常，笔记本在一般使用中，因为Intel的Speedstep技术还会降频，性能上也感觉不到多大差异。

　　一、出现问题的笔记本有以下共性：

　　1.进程中发现smssa.Exe和smssb.Exe，关闭后CPU频率降低。

　　真实CPU频率1.4GHz

原始系统属性显示的真实信息

　　被修改后变成2GHz

修改后系统属性显示的假信息

修Cpu-z显示的真实信息

Cpu-z显示的假信息

　　2.在BIOS中CPU显示和Windows系统属性一致，但其版本日期都为05年11月7日。

Bios的版本信息

　　3.在smssa.Exe和smssb.Exe进程运行状态下，通过CPU-z等检测工具检测出来的值和Windows系统属性显示的一致：都为程序修改后的值，且CPU信息那栏不停的闪动。

　　4.问题都出现在水货Thinkpad笔记本。

　　二、分析报告：

　　金山反病毒中心分析了造假者植入的smssa.Exe和smssb.Exe程序。以下是分析报告：

　　病毒名Win32.troj.profiteer.271360

　　(1)涉及文件 %sys32dir%smssa.Exe(%sys32dir%一般在c:Windowssystem32文件夹)

　　%sys32dir%smssb.Exe

　　C:DOCUME~1ALLUSE~1「开始~1程序\启动smssa.Exe

　　C:DOCUME~1ALLUSE~1Startm~1ProgramsStartupsmssa.Exe(英文版)

　　%windir%WINHLP32.EXE（%windir%一般在c:Windows文件夹）

　　(2)涉及启动注册表

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下的System键值和Userinit键值。

　　(3)具体细节(该样本是将CPU频率为1.4改为2.0)

　　a.创建互斥体“smss ter sys”，并判断是否存在，存在退出。

　　b.读取注册表

　　HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystem下SystemBIOSDate键值，获取当前BIOS的日期。判断是不是11/07/05(05年11月7日，说明这个BIOS版本更早，估计主版也被替换)，不是退出。

　　c.通过GetSystemDirectoryA获取目录，并判断是否为"c:Windowssystem"，是则不检测BIOS的日期。(估计是判断9x系统，9x系统下没有SystemBIOSDate键值)

　　d.通过CPUid获得当前CPU的真实频率，并比较是否为替换芯的频率1.4，不是则退出。

　　e.修改注册表

　　修改HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor下的~MHz键值，将其改为0x000007D0(2000)

　　将ProcessorNameString键值写入"Intel(R) Pentium(R) M processor 2.00GHz"

　　修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory ManagementPrefetchParameters下的EnablePrefetcher键值默认为3，改为1，目的是减少预读，减少进度条等待时间。

　　修改HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下的Userinit键值，在其后添加"smssb.Exe"

　　修改System键值，改为"C:Windowssystem32smssa.Exe"

　　f.复制文件

　　将C:DOCUME~1ALLUSE~1「开始~1程序\启动smssa.Exe(英文版为C:DOCUME~1ALLUSE~1Startm~1ProgramsStartupsmssa.Exe)复制到%sys32dir%smssa.Exe和%sys32dir%smssb.Exe。

　　将"C:WindowsWINHLP32.EXE"拷贝到%sys32dir%smssa.Exe和%sys32dir%smssb.Exe。

　　(C:WindowsWINHLP32.EXE和启动目录下的同为一个文件，且dllcache目录下WINHLP32.EXE正常，系统文件保护被关闭)

　　g.添加标记文件，循环改写窗口

　　查找"C:WINLOGO.ini"，没找到将c:Windowssystem32append.Exe(为正常文件)拷贝过去，并提权到"SeShutdownPrivilege"，调ExitWindowsEx重启系统。

　　找到"C:WINLOGO.ini"，则遍历所有窗口。

　　发现有以下窗口信息则通过PostMessageA发送WM_QUIT消息

　　"ASTRA32 - Advanced "

　　"AIDA32 - Enterprise "

　　"Windows优化大师显示卡和内存"

　　"WCPUID / CPU "

　　"Clear Info"

　　发现有以下窗口信息则通过PostMessageA发送WM_CLOSE消息

　　"FlashUpdate (1/4)"

　　"CPU Monitor"

　　"ThunderRT6FormDC"

　　"CPUInfo "

　　"THauptForm"

　　"GCPUID "

　　"EVEREST "

　　"FreshDiagnose"

　　"DVD信息 属性"

　　"Log Console"

　　发现以下窗口信息则通过SetWindowTextA进行改写

　　发现有一批使用Thinkpad笔记本的用户，存在异常进程smssa.Exe和smssb.Exe。当关闭进程后，CPU频率显示异常，都比关闭前CPU频率降低。经过检测，发现其CPU被换。据查Thinkpad笔记本从T43开始到酷睿2时代的T60，已经有多个型号以多种形式被换芯，并通过刷BIOS和利用smssa.Exe来进行掩盖。一般使用中，你不会发现换芯的笔记本与正常的有何区别。

　　三、解决方案

　　这几个样本不同于传统的病毒和木马，程序纯粹为造假设计，为保护计算机用户的利益，金山毒霸将其列入恶意软件特征进行查杀。

　　以下是查杀方案：

　　(1)下载金山系统急救箱安装后重启完成查杀。

　　(2)使用金山毒霸，升级到最新，可以查杀。

　　(3)手工删除以下相关文件

　　%sys32dir%smssa.Exe

　　%sys32dir%smssb.Exe

　　C:DOCUME~1ALLUSE~1「开始~1程序\启动smssa.Exe

　　C:DOCUME~1ALLUSE~1Startm~1ProgramsStartupsmssa.Exe(英文版)

　　将dllcache目录下WINHLP32.EXE文件替换%windir%WINHLP32.EXE文件

　　(4)运行注册表编辑器编辑以下键值HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon将Userinit键值中"smssb.Exe,"字符串去掉。删除System键值。

　　呼吁购买水货笔记本的用户提高警惕，防止买到被换芯的Thinkpad笔记本。已经购买的，请检查自己的笔记本是否符合以上病毒的特征，可使用杀毒软件进行查杀。