3.在smssa.Exe和smssb.Exe进程运行状态下,通过cpu-z等检测工具检测出来的值和windows系统属性显示的一致:都为程序修改后的值,且cpu信息那栏不停的闪动。
4.问题都出现在水货Thinkpad笔记本。
分析报告:
金山反病毒中心分析了造假者植入的smssa.exe和smssb.exe程序。以下是分析报告:
病毒名Win32.troj.profiteer.271360
1)涉及文件
%sys32dir%\smssa.Exe(%sys32dir%一般在c:\windows\system32文件夹)
%sys32dir%\smssb.Exe
C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\SMSSA.EXE
C:\DOCUME~1\ALLUSE~1\Startm~1\Programs\Startup\SMSSA.EXE(英文版)
%windir%\WINHLP32.EXE(%windir%一般在c:\windows文件夹)
2)涉及启动注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下
的System键值和Userinit键值。
3)具体细节(该样本是将cpu频率为1.4改为2.0)
a)创建互斥体“smss ter sys”,并判断是否存在,存在退出。
b)读取注册表
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System下SystemBiosDate键值,获
取当前bios的日期。判断是不是11/07/05(05年11月7日,说明这个Bios版本
更早,估计主版也被替换),不是退出。
c)通过GetSystemDirectoryA获取目录,并判断是否为"c:\windows\system",是
则不检测bios的日期。(估计是判断9x系统,9x系统下没有SystemBiosDate键
值)
d)通过cpuid获得当前cpu的真实频率,并比较是否为替换芯的频率1.4,不是则
退出。
e)修改注册表
修改HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0下的~MHz键值,将其改为0x000007D0(2000)
将ProcessorNameString键值写入"Intel(R) Pentium(R) M processor 2.00GHz"
修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters下的EnablePrefetcher键值默认为3,改为1,目的是减少预读,减少进度条等待时间。
修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Userinit键值,在其后添加"smssb.exe,"
修改System键值,改为"C:\WINDOWS\system32\smssa.exe"
f)复制文件
将C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\SMSSA.EXE(英文版为C:\DOCUME~1\ALLUSE~1\Startm~1\Programs\Startup\SMSSA.EXE)复制到%sys32dir%\smssa.Exe和%sys32dir%\smssb.Exe。
将"C:\WINDOWS\WINHLP32.EXE"拷贝到%sys32dir%\smssa.Exe和%sys32dir%\smssb.Exe。
(C:\WINDOWS\WINHLP32.EXE和启动目录下的同为一个文件,且dllcache目录下WINHLP32.EXE正常,系统文件保护被关闭)
g)添加标记文件,循环改写窗口
查找"C:\WINLOGO.ini",没找到将c:\windows\system32\append.Exe(为正常文件)拷贝过去,并提权到"SeShutdownPrivilege",调ExitWindowsEx重启系统。
找到"C:\WINLOGO.ini",则遍历所有窗口。
发现有一下窗口信息则通过PostMessageA发送WM_QUIT消息
"ASTRA32 - Advanced "
"AIDA32 - Enterprise "
"Windows优化大师显示卡和内存"
"WCPUID / CPU "
"Clear Info"
发现有一下窗口信息则通过PostMessageA发送WM_CLOSE消息
"FlashUpdate (1/4)"
"CPU Monitor"
"ThunderRT6FormDC"
"CPUInfo "
"THauptForm"
"GCPUID "
"EVEREST "
"FreshDiagnose"
"DVD信息 属性"
"Log Console"
发现一下窗口信息则通过SetWindowTextA进行改写
"CPU-Z"
"英特尔(R) 处理器频率 ID"
"英特尔(R) 处理器标识实用程序"
"Intel(R) Processor Frequency"
"Intel(R) Processor Identification"
"DirectX Diagnostic Tool"
"CrystalCPUID "
三、解决方案
这几个样本不同于传统的病毒和木马,程序纯粹为造假设计,为保护计算机用户的利益,金山毒霸将其列入恶意软件特征进行查杀。
以下是查杀方案:
1)下载金山系统急救箱安装后重启完成查杀。
2)使用金山毒霸,升级到最新,可以查杀。
3)手工删除以下相关文件
%sys32dir%\smssa.Exe
%sys32dir%\smssb.Exe
C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\SMSSA.EXE
C:\DOCUME~1\ALLUSE~1\Startm~1\Programs\Startup\SMSSA.EXE(英文版)
将dllcache目录下WINHLP32.EXE文件替换%windir%\WINHLP32.EXE文件
4)运行注册表编辑器编辑以下键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将Userinit键值中"smssb.exe,"字符串去掉。
删除System键值
呼吁购买水货笔记本的用户提高警惕,防止买到被换芯的Thinkpad笔记本。已经购买的,请检查自己的笔记本是否符合以上病毒的特征,可使用金山毒霸进行查杀。
发表于 2008-11-14 14:43
| 
发表于 2008-11-14 14:47
| 
发表于 2008-11-14 15:45
| 
可怜悲哀啊
