奸商的高科技：水货ThinkPad利用病毒技术篡改CPU信息

发现有一批使用Thinkpad笔记本的用户，存在异常进程smssa.exe和smssb.exe。当关闭进程后，cpu频率显示异常，都比关闭前CPU频率降低。进过检测，发现其CPU被换，据查Thinkpad笔记本从T43开始到酷睿2时代的T60，已经有多个型号以多种形式被换芯，并通过刷bios和利用smssa.exe来进行掩盖。一般使用中，你不会发现换芯的笔记本与正常的有何区别。看系统属性，CPU信息正常、频率也正常，笔记本在一般使用中，因为Intel的 Speedstep技术还会降频，性能上也感觉不到多大差异。

出现问题的笔记本有以下共性：
1.进程中发现smssa.exe和smssb.exe，关闭后cpu频率降低。
真实CPU频率1.4GHz

被修改后变成2GHz


2.在Bios中cpu显示和windows系统属性一致，但其版本日期都为05年11月7日。

3.在smssa.Exe和smssb.Exe进程运行状态下，通过cpu-z等检测工具检测出来的值和windows系统属性显示的一致：都为程序修改后的值，且cpu信息那栏不停的闪动。

4.问题都出现在水货Thinkpad笔记本。

分析报告：
金山反病毒中心分析了造假者植入的smssa.exe和smssb.exe程序。以下是分析报告：
病毒名Win32.troj.profiteer.271360

1）涉及文件 %sys32dir%\smssa.Exe（%sys32dir%一般在c:\windows\system32文件夹）
%sys32dir%\smssb.Exe

C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\SMSSA.EXE

C:\DOCUME~1\ALLUSE~1\Startm~1\Programs\Startup\SMSSA.EXE(英文版)

%windir%\WINHLP32.EXE（%windir%一般在c:\windows文件夹）

2）涉及启动注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下
的System键值和Userinit键值。

3）具体细节（该样本是将cpu频率为1.4改为2.0）
a)创建互斥体“smss ter sys”，并判断是否存在，存在退出。

b)读取注册表
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System下SystemBiosDate键值，获
取当前bios的日期。判断是不是11/07/05（05年11月7日，说明这个Bios版本
更早，估计主版也被替换），不是退出。

c)通过GetSystemDirectoryA获取目录，并判断是否为"c:\windows\system"，是
则不检测bios的日期。（估计是判断9x系统，9x系统下没有SystemBiosDate键
值）

d)通过cpuid获得当前cpu的真实频率,并比较是否为替换芯的频率1.4，不是则
退出。

e)修改注册表
修改HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0下的~MHz键值，将其改为0x000007D0(2000)

将ProcessorNameString键值写入"Intel(R) Pentium(R) M   processor 2.00GHz"

修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters下的EnablePrefetcher键值默认为3，改为1，目的是减少预读，减少进度条等待时间。

修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Userinit键值，在其后添加"smssb.exe,"

修改System键值，改为"C:\WINDOWS\system32\smssa.exe"

f)复制文件

将C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\SMSSA.EXE（英文版为C:\DOCUME~1\ALLUSE~1\Startm~1\Programs\Startup\SMSSA.EXE）复制到%sys32dir%\smssa.Exe和%sys32dir%\smssb.Exe。

将"C:\WINDOWS\WINHLP32.EXE"拷贝到%sys32dir%\smssa.Exe和%sys32dir%\smssb.Exe。

（C:\WINDOWS\WINHLP32.EXE和启动目录下的同为一个文件，且dllcache目录下WINHLP32.EXE正常，系统文件保护被关闭）

g)添加标记文件，循环改写窗口

查找"C:\WINLOGO.ini"，没找到将c:\windows\system32\append.Exe（为正常文件）拷贝过去，并提权到"SeShutdownPrivilege"，调ExitWindowsEx重启系统。
找到"C:\WINLOGO.ini"，则遍历所有窗口。

发现有一下窗口信息则通过PostMessageA发送WM_QUIT消息

"ASTRA32 - Advanced "

"AIDA32 - Enterprise "

"Windows优化大师显示卡和内存"

"WCPUID / CPU "

"Clear Info"

发现有一下窗口信息则通过PostMessageA发送WM_CLOSE消息

"FlashUpdate (1/4)"

"CPU Monitor"

"ThunderRT6FormDC"

"CPUInfo "

"THauptForm"

"GCPUID "

"EVEREST "

"FreshDiagnose"

"DVD信息 属性"

"Log Console"

发现一下窗口信息则通过SetWindowTextA进行改写

"CPU-Z"

"英特尔(R) 处理器频率 ID"

"英特尔(R) 处理器标识实用程序"

"Intel(R) Processor Frequency"

"Intel(R) Processor Identification"

"DirectX Diagnostic Tool"

"CrystalCPUID "

三、解决方案

这几个样本不同于传统的病毒和木马，程序纯粹为造假设计，为保护计算机用户的利益，金山毒霸将其列入恶意软件特征进行查杀。

以下是查杀方案：

1）下载金山系统急救箱安装后重启完成查杀。

2）使用金山毒霸，升级到最新，可以查杀。

3）手工删除以下相关文件

%sys32dir%\smssa.Exe

%sys32dir%\smssb.Exe

C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\SMSSA.EXE

C:\DOCUME~1\ALLUSE~1\Startm~1\Programs\Startup\SMSSA.EXE(英文版)

将dllcache目录下WINHLP32.EXE文件替换%windir%\WINHLP32.EXE文件

4）运行注册表编辑器编辑以下键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将Userinit键值中"smssb.exe,"字符串去掉。

删除System键值

呼吁购买水货笔记本的用户提高警惕，防止买到被换芯的Thinkpad笔记本。已经购买的，请检查自己的笔记本是否符合以上病毒的特征，可使用金山毒霸进行查杀。