Smss.exe o Windows Session Manager este un proces responsabil cu administrarea sesiunilor userilor inregistrati pe un sistem (perioadele de timp in care respectivii useri sunt logati la acel sistem). Mai exact, la inceperea unei astfel de sesiuni, smss.exe aplica o serie de comenzi care lanseaza procesul de logare (winlogon.exe) plus o serie de procese Win32 necesare functionarii sistemului. De asemenea, procesul smss.exe seteaza si o serie de variabile de sistem.
Desi este un proces de sistem relativ important smss.exe este considerat si un proces vulnerabil la atacurile online. Acesta este localizat, legitim, in folderul C:\Windows System32, iar descoperirea vreunui fisier cu acelasi nume sau cel putin asemanator cu al procesului indica prezenta unui virus, troyano o spyware in sistemul dvs.
W32/Ladex.Worm este un virus care se raspandeste prin intermediul conturilor deschise sau share-uite. Acesta ataseaza sistemului anumite archivos maliciosos, printre care si fisierul smss.exe (nume identic cu al procesului legitim). Apoi incearca sa acceseze Service Control Manager pentru a se instala, prin remote, ca serviciu al sistemului atacat. Acest serviciu fals (lmhsvc.exe) poarta numele NtLmHosts (o TCP/IP NetBIOS Provider), creand impresia legitimitatii si reusind in felul acesta sa induca in eroare foarte multi useri. Deoarece lmhsvc.exe isi plaseaza o copie in folderul System 32, serviciul se activeaza automático la fiecare pornire a sistemului.
Dupa instalarea sa sub forma de serviciu, worm-ul Ladex executa fisierele %windir%\Smss.exe y %windir%\Csrss.exe. Cand virusul este activ, aceste doua fisiere ilegitime trebuie sa asigure rularea continua a acestuia prin verificari la fiecare 3 secunde. Iar la fiecare 10 secunde, virusul adauga urmatorii registro in sistem:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run registry key:
Smss.exe %windir%\smss.exe
Csrss.exe %windir%\csrss.exeDe asemenea, virusul incearca, iar de cele mai multe ori reuseste, sa blocheze accesul userilor la Editor de registro.
¡Cuidadoso! In cazul in care suspectati nereguli in privinta procesului smss.exe, recomandam efectuarea unei scanari amanuntite de sistem y dezactivarea sharing-ului in retelele nefolosite.
