Board logo

标题: 奸商利用病毒技术篡改水货ThinkPad CPU信息 [打印本页]
作者: macchange    时间: 2008-11-17 22:40     标题: 奸商利用病毒技术篡改水货ThinkPad CPU信息

奸商利用病毒技术篡改水货ThinkPad CPU信息2008-11-17 10:00 来源:比特网 作者:Arade 【网友评论0我要说两句】 【字号:大 中 小】
发现有一批使用Thinkpad笔记本的用户,存在异常进程smssa.Exe和smssb.Exe。当关闭进程后,CPU频率显示异常,都比关闭前CPU频率降低。经过检测,发现其CPU被换。据查Thinkpad笔记本从T43开始到酷睿2时代的T60,已经有多个型号以多种形式被换芯,并通过刷BIOS和利用smssa.Exe来进行掩盖。一般使用中,你不会发现换芯的笔记本与正常的有何区别。

  发现有一批使用Thinkpad笔记本的用户,存在异常进程smssa.Exe和smssb.Exe。当关闭进程后,CPU频率显示异常,都比关闭前CPU频率降低。经过检测,发现其CPU被换。据查Thinkpad笔记本从T43开始到酷睿2时代的T60,已经有多个型号以多种形式被换芯,并通过刷BIOS和利用smssa.Exe来进行掩盖。一般使用中,你不会发现换芯的笔记本与正常的有何区别。看系统属性,CPU信息正常、频率也正常,笔记本在一般使用中,因为Intel的Speedstep技术还会降频,性能上也感觉不到多大差异。
  一、出现问题的笔记本有以下共性:
  1.进程中发现smssa.Exe和smssb.Exe,关闭后CPU频率降低。
  真实CPU频率1.4GHz

  

  原始系统属性显示的真实信息

  被修改后变成2GHz

  

  修改后系统属性显示的假信息

  

  修Cpu-z显示的真实信息

  

  Cpu-z显示的假信息

  2.在BIOS中CPU显示和Windows系统属性一致,但其版本日期都为05年11月7日。

  

  Bios的版本信息

  3.在smssa.Exe和smssb.Exe进程运行状态下,通过CPU-z等检测工具检测出来的值和Windows系统属性显示的一致:都为程序修改后的值,且CPU信息那栏不停的闪动。
  4.问题都出现在水货Thinkpad笔记本。
二、分析报告:
  金山反病毒中心分析了造假者植入的smssa.Exe和smssb.Exe程序。以下是分析报告:
  病毒名Win32.troj.profiteer.271360
  (1)涉及文件 %sys32dir%\smssa.Exe(%sys32dir%一般在c:\Windows\system32文件夹)

%sys32dir%\smssb.Exe C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\smssa.ExeC:\DOCUME~1\ALLUSE~1\Startm~1\Programs\Startup\smssa.Exe(英文版)%windir%\WINHLP32.EXE(%windir%一般在c:\Windows文件夹)

  (2)涉及启动注册表
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的System键值和Userinit键值。
  (3)具体细节(该样本是将CPU频率为1.4改为2.0)
  a.创建互斥体“smss ter sys”,并判断是否存在,存在退出。
  b.读取注册表
  HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System下SystemBIOSDate键值,获取当前BIOS的日期。判断是不是11/07/05(05年11月7日,说明这个BIOS版本更早,估计主版也被替换),不是退出。
  c.通过GetSystemDirectoryA获取目录,并判断是否为"c:\Windows\system",是则不检测BIOS的日期。(估计是判断9x系统,9x系统下没有SystemBIOSDate键值)
  d.通过CPUid获得当前CPU的真实频率,并比较是否为替换芯的频率1.4,不是则退出。
  e.修改注册表
  修改HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0下的~MHz键值,将其改为0x000007D0(2000)
  将ProcessorNameString键值写入"Intel(R) Pentium(R) M processor 2.00GHz"
  修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters下的EnablePrefetcher键值默认为3,改为1,目的是减少预读,减少进度条等待时间。
  修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Userinit键值,在其后添加"smssb.Exe"
  修改System键值,改为"C:\Windows\system32\smssa.Exe"
  f.复制文件
  将C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\smssa.Exe(英文版为C:\DOCUME~1\ALLUSE~1\Startm~1\Programs\Startup\smssa.Exe)复制到%sys32dir%\smssa.Exe和%sys32dir%\smssb.Exe。
  将"C:\Windows\WINHLP32.EXE"拷贝到%sys32dir%\smssa.Exe和%sys32dir%\smssb.Exe。
  (C:\Windows\WINHLP32.EXE和启动目录下的同为一个文件,且dllcache目录下WINHLP32.EXE正常,系统文件保护被关闭)
  g.添加标记文件,循环改写窗口
  查找"C:\WINLOGO.ini",没找到将c:\Windows\system32\append.Exe(为正常文件)拷贝过去,并提权到"SeShutdownPrivilege",调ExitWindowsEx重启系统。
  找到"C:\WINLOGO.ini",则遍历所有窗口。
  发现有以下窗口信息则通过PostMessageA发送WM_QUIT消息

"ASTRA32 - Advanced ""AIDA32 - Enterprise ""Windows优化大师显示卡和内存""WCPUID / CPU ""Clear Info"

  发现有以下窗口信息则通过PostMessageA发送WM_CLOSE消息

"FlashUpdate (1/4)""CPU Monitor" "ThunderRT6FormDC""CPUInfo " "THauptForm""GCPUID " "EVEREST ""FreshDiagnose" "DVD信息 属性""Log Console"

  发现以下窗口信息则通过SetWindowTextA进行改写

"CPU-Z" "英特尔(R) 处理器频率 ID""英特尔(R) 处理器标识实用程序" "Intel(R) Processor Frequency""Intel(R) Processor Identification""DirectX Diagnostic Tool" "CrystalCPUID "


三、解决方案
  这几个样本不同于传统的病毒和木马,程序纯粹为造假设计,为保护计算机用户的利益,金山毒霸将其列入恶意软件特征进行查杀。
  以下是查杀方案:
  (1)下载金山系统急救箱安装后重启完成查杀。
  (2)使用金山毒霸,升级到最新,可以查杀。
  (3)手工删除以下相关文件

%sys32dir%\smssa.Exe%sys32dir%\smssb.Exe C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\smssa.ExeC:\DOCUME~1\ALLUSE~1\Startm~1\Programs\Startup\smssa.Exe(英文版) 将dllcache目录下WINHLP32.EXE文件替换%windir%\WINHLP32.EXE文件

  (4)运行注册表编辑器编辑以下键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon将Userinit键值中"smssb.Exe,"字符串去掉。删除System键值。
  呼吁购买水货笔记本的用户提高警惕,防止买到被换芯的Thinkpad笔记本。已经购买的,请检查自己的笔记本是否符合以上病毒的特征,可使用杀毒软件进行查杀。

网址来源:http://sec.chinabyte.com/302/8588802.shtml
作者: domingo    时间: 2008-11-17 22:44

这样的奸商做不长久的
作者: 锋回血舞    时间: 2008-11-17 22:58

这么黑啊
可得小心
作者: I小B黑M    时间: 2008-11-17 22:59

其实,这已经不是啥新闻了,早在奔腾MMX的时候就有了~
作者: liuxingzixin    时间: 2008-11-17 22:59

黑到家了,小心------------
作者: 天地遥昭    时间: 2008-11-17 23:05

这样的奸商太黑心。。。。。。。
作者: rainyelf    时间: 2008-11-17 23:17

黑版是高手啊,。。
作者: mickeylm    时间: 2008-11-17 23:25

这个,以前看过,n早前~
作者: jiefy    时间: 2008-11-18 08:43

道高一尺。魔高一丈啊。防不胜防啊。
作者: mingrui_xidian    时间: 2008-11-18 09:14

还是找个有信誉的商家
作者: luckyjun    时间: 2008-11-18 09:56

这样改CPU的奸商太黑了!
作者: alfa2008    时间: 2008-11-18 10:47

靠,这样的奸商太可恶了
作者: baimifan123    时间: 2008-11-18 10:50

还是在老吴这里买吧。。。。放心
作者: intotherain    时间: 2008-11-18 12:16

奸商太黑了阿,买东西还是找信誉好的
作者: hansq    时间: 2008-11-18 21:09

来这里购机器,大家应该都是很放心的把
作者: geminigao    时间: 2008-11-18 21:10

这个信息的社会里,任何不注重信誉的商家最后都将被淘汰
作者: hansq    时间: 2008-11-19 07:47

呵呵,在网上找了几个奸商的信息
作者: sex5678    时间: 2008-11-19 09:28

修改信息这个已经出现很长时间了,不一定要用什么病毒
作者: wdzhi    时间: 2008-11-19 12:37

无耻的奸商啊
作者: tsing    时间: 2008-11-19 16:07

在鸿利买不用担心这个问题



欢迎光临 鸿利在线|北京Thinkpad水货|IBM水货|Thinkpad笔记本|Thinkpad全球购|Thinkpad美行|Thinkpad水货笔记本|Thinkpad港行笔记本|Thinkpad T14|X13|P15|P17|P1隐士| X1 Carbon 9代 |T14S|2021款X1 Carbon|X1 隐士|Thinkpad非官方论坛|Thinkpad工作站|Thinkpad笔记本论坛|Thinkpad水货 (http://nb591.com:8989/) Powered by Discuz! 7.2