近日�,金山毒霸截獲了一種能夠修改Thinkpad筆記本硬件配置信息的病毒——“奸商修改器 ”(Win32.troj.profiteer.271360)。該病毒是一個修改器程序���,能對從Thinkpad T43開始到酷睿2時代T60之間的所有機型進行修改�,讓低配置的水貨機甚至完全冒牌的機器�����,看上去和正品行貨機的配置完全一樣�����,欺騙消費者�����。
該病毒極有可能是某些不法商人找病毒制作者“量身定制”�����,奸商們借助多種形式�,將一些Thinkpad筆記本換“ 芯”,然后通過刷bios和利用此修改器來進行掩蓋。被此修改器動過手腳的機器���,無論是系統屬性還是CPU信息���,查看起來都是正常的。而由于筆記本在使用中�����,Intel的 Speedstep技術還會降頻�,因此在性能上也感覺不到多大差異。也就是說�����,用戶很可能用了很長時間的Thinkpad水貨�����,也不知道自己已經上當受騙�����。
原始系統屬性顯示的真實信息
修改后系統屬性顯示的假信息
據介紹�����,出現問題的筆記本有以下共性:
1.系統的%WINDOWS%system32目錄中都存在smssa.exe和smssb.exe兩個進程���,將它們強制關閉后�,cpu頻率會明顯降低�。
2.利用Bios工具進行查看,cpu數據顯示正常�,但其版本日期都為05年11月7日。
3.在smssa.Exe和smssb.Exe進程運行狀態下�����,通過cpu-z等檢測工具檢測出來的值 都為修改后的值���,且cpu信息那欄不停的閃動���。
4.大多數問題都出現在水貨Thinkpad筆記本。
原始系統中Cpu-z顯示的真信息
遭篡改后Cpu-z顯示的假信息
據了解�����,之前也曾出現過修改電腦配置數據的修改器�����,但大多數只是在裝機初期進行安裝,修改完后就會被刪除�。而此次發現的“奸商修改器”則是長期駐留在系統中,并且可以騙過大部分硬件配置查看工具的檢查�。因此,反病毒工程師認為它屬于病毒木馬的范疇�,而不再僅僅是個普通的配置信息修改工具。
Bios的版本信息
解決方法:
1�����、手工刪除以下相關文件
“%sys32dir%\smssa.Exe
%sys32dir%\smssb.Exe
C:\DOCUME~1\ALLUSE~1\「開始~1\程序\啟動\smssa.Exe
C:\DOCUME~1\ALLUSE~1\Startm~1\Programs\Startup\smssa.Exe(英文版) ”
將dllcache目錄下WINHLP32.EXE文件替換%windir%\WINHLP32.EXE文件
2�����、運行注冊表編輯器編輯以下鍵值“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”���,將Userinit鍵值中"smssb.Exe,"字符串去掉。刪除System鍵值�。
蘇公網安備 32070502010230號