本周重点关注病毒

　　“奸商修改器”（Win32.troj.profiteer.271360）威胁级别：★★★

　　金山毒霸反病毒工程师日前截获了一款能修改Thinkpad笔记本硬件配置信息的病毒，它是一个修改器程序，能对从T43开始、到酷睿2时代T60之间的所有机型进行修改，让低配置的水货机甚至完全冒牌的机器，看上去和正品行货机的配置完全一样。

　　通过对该修改器的分析，毒霸反病毒工程师发现，此毒极有可能是不法商人找人“量身定制”的，奸商们借助多种形式，将一些Thinkpad笔记本换芯，然后通过刷bios和利用此修改器来进行掩盖。被此修改器动过手脚的机器，无论是系统属性还是CPU信息，查看起来都是正常的。而由于笔记本在使用中，Intel的Speedstep技术还会降频，因此在性能上也感觉不到多大差异。也就是说，用户很可能用了很长时间的Thinkpad水货，也不知道自己其实是当了冤大头。

　　该毒的修改过程比较复杂，因此不在预警播报中详细列举，如需了解详情的可以到下面附带的爱毒霸论坛及病毒大百科中查询。不过，反病毒工程师们总结该毒的4点特征，供广大用户进行判断。

　　出现问题的笔记本有以下共性：

　　1.系统的%WINDOWS%system32\目录中都存在smssa.exe和smssb.exe两个进程，将它们强制关闭后，cpu频率会明显降低。

　　2.利用Bios工具进行查看，cpu数据显示正常，但其版本日期都为05年11月7日。

　　3.在smssa.Exe和smssb.Exe进程运行状态下，通过cpu-z等检测工具检测出来的值都为修改后的值，且cpu信息那栏不停的闪动。

　　4.大多数问题都出现在水货Thinkpad笔记本。

　　以前也曾有修改电脑配置数据的修改器被曝光，但它们只是在装机初期进行安装，修改完后就会被删除。而此次发现的“奸商修改器”则是长期驻留在系统中，并且可以骗过大部分硬件配置查看工具的检查，因此，毒霸反病毒工程师认为它属于病毒木马的范畴，而不再仅仅是个普通的配置信息修改工具。

　　毒霸反病毒工程师强烈建议所有购买水货机、或者怀疑自己买到水货机的Thinkpad用户，立即安装金山毒霸对电脑进行检查，如果您已安装其它杀毒软件，不想卸载，也可以使用毒霸提供的免费修复工具“金山系统急救箱”来进行检查和修复。

　　“金山系统急救箱”下载地址http://bbs.duba.net/thread-21988813-1-1.html

　　关于该毒的最新资讯线索，可在爱毒霸论坛浏览http://bbs.duba.net/thread-21994693-1-1.html

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-profiteer-271360-52383.html

　　此外值得关注病毒

　　“捕食网下载器”（Win32.Troj.DownLoadT.bm.102400）威胁级别：★★

　　自从MS08-67漏洞公布以来，大量针对此漏洞的病毒木马大量涌现，刚处理完“扫荡波”带来的威胁，毒霸反病毒工程师又捕获了另一个利用MS08-67漏洞的病毒，运行原理与“扫荡波”大同小异，因此提醒广大用户注意防范。

　　此病毒运行后，释放出多个子文件，其中比较重要的一个是%WINDOWS%\system32\drivers\目录中的驱动文件winsawids.sys，另一个是%WINDOWS%\system32\目录中的jiocs.dll。病毒会利用系统自身的rundll32.exe进程来加载自己的文件，实现自启动和隐蔽运行。

　　该毒每次运行时会解密一段数据，然后将这段数据发送到驱动，由驱动将这段数据创建为可执行文件，并执行这段文件。如可以成功运行，它便能够下载其它盗号木马和自己的最新版本到中毒机器中。同时，搜索局域网以及外网的同一网段，只要发现未打MS08-67补丁、并且防火墙被关闭的电脑，就进行入侵，继续进行更大范围的传播。

　　使用金山清理专家打齐补丁，并开启网镖，可免受此毒威胁。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-downloadt-bm-102400-52344.html

　　“地下城盗贼102400”（Win32.Troj.Agent.tz.102400）威胁级别：★★

　　该毒在释放出大量的子文件后，就搜索tenqqaccount.dll、DNF.exe、QQLogin.exe等QQ游戏的相关模块，开始执行盗号操作。在此过程中，它会替换电脑里的多处文件，比如系统文件csrss.dll和rpcss.dll，以及QQ游戏中自带的驱动文件TesSafe.sys。

　　这些文件都是与系统安全有关的，将它们替换为自己的文件，当病毒执行盗号任务时，玩家就不会收到任何安全提示，直到发觉帐号丢失也是一头雾水，不知道是什么时候被盗的。

　　该毒的变种比较多，部分变种由于病毒作者配置的原因，在杀毒软件对它们进查杀时，可能导致系统崩溃蓝屏，让系统与它们“同归于尽”。不过毒霸已经有了自动解决方案，可以将它们顺利清除。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-agent-tz-102400-52382.html

　　金山毒霸反病毒工程师建议

　　1.请及时更新您的杀毒软件，网络版可以通过控制台执行全网升级。

　　2.建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。

　　3.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报，这样才能真正保障计算机的安全。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年11月23日的病毒库即可查以上病毒；如未安装金山毒霸，可以登录http://www.duab.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵，拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。