|
||||
近日,金山毒霸截獲了一種能夠修改Thinkpad筆記本硬件配置信息的病毒——『奸商修改器』(Win32.troj.profiteer.271360)。該病毒是一個修改器程序,能對從Thinkpad T43開始到酷叡2時代T60之間的所有機型進行修改,讓低配置的水貨機甚至完全冒牌的機器,看上去和正品行貨機的配置完全一樣,欺騙消費者。
該病毒極有可能是某些不法商人找病毒制作者『量身定制』,奸商們借助多種形式,將一些Thinkpad筆記本換『芯』,然後通過刷bios和利用此修改器來進行掩蓋。被此修改器動過手腳的機器,無論是系統屬性還是CPU信息,查看起來都是正常的。而由於筆記本在使用中,Intel的Speedstep技術還會降頻,因此在性能上也感覺不到多大差異。也就是說,用戶很可能用了很長時間的Thinkpad水貨,也不知道自己已經上當受騙。
據介紹,出現問題的筆記本有以下共性:
1.系統的%WINDOWS%system32目錄中都存在smssa.exe和smssb.exe兩個進程,將它們強制關閉後,cpu頻率會明顯降低。
2.利用Bios工具進行查看,cpu數據顯示正常,但其版本日期都為05年11月7日。
3.在smssa.Exe和smssb.Exe進程運行狀態下,通過cpu-z等檢測工具檢測出來的值都為修改後的值,且cpu信息那欄不停的閃動。
4.大多數問題都出現在水貨Thinkpad筆記本。
原始系統中Cpu-z顯示的真信息
遭篡改後Cpu-z顯示的假信息
據了解,之前也曾出現過修改電腦配置數據的修改器,但大多數只是在裝機初期進行安裝,修改完後就會被刪除。而此次發現的『奸商修改器』則是長期駐留在系統中,並且可以騙過大部分硬件配置查看工具的檢查。因此,反病毒工程師認為它屬於病毒木馬的范疇,而不再僅僅是個普通的配置信息修改工具。
Bios的版本信息
解決方法:
1、手工刪除以下相關文件
『%sys32dir%\smssa.Exe
%sys32dir%\smssb.Exe
C:\DOCUME~1\ALLUSE~1\『開始~1\程序\啟動\smssa.Exe
C:\DOCUME~1\ALLUSE~1\Startm~1\Programs\Startup\smssa.Exe(英文版) 』
將dllcache目錄下WINHLP32.EXE文件替換%windir%\WINHLP32.EXE文件
2、運行注冊表編輯器編輯以下鍵值『HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon』,將Userinit鍵值中"smssb.Exe,"字符串去掉。刪除System鍵值。