Smss.exe หรือ Windows Session Manager este un proces responsabil cu administrarea sesiunilor userilor inregistrati pe un sistem (perioadele de timp in care respectivii useri sunt logati la acel sistem). Mai exact, la inceperea unei astfel de sesiuni, smss.exe aplica o serie de comenzi care lanseaza procesul de logare (winlogon.exe) plus o serie de procese win32 necesare functionarii sistemului. De asemenea, procesul smss.exe seteaza si o serie de variabile de sistem-
Desi este un proces de sistem relativ important smss.exe este considerat si un proces vulnerabil la atacurile online. Acesta este localizat, legitim, in folderul C:\Windows System32, iar descoperirea vreunui fisier cu acelasi nume sau cel putin asemanator cu al procesului indica prezenta unui ไวรัส- โทรจัน หรือ สปายแวร์ in sistemul dvs.
W32/Ladex.Worm este un virus care se raspandeste prin intermediul conturilor deschise sau share-uite. Acesta ataseaza sistemului anumite ไฟล์มัลแวร์, printre care si fisierul smss.exe (nume identic cu al procesului legitim). Apoi incearca sa acceseze Service Control Manager pentru a se instala, prin remote, ca serviciu al sistemului atacat. Acest serviciu fals (lmhsvc.exe) poarta numele NtLmHosts (หรือ TCP/IP NetBIOS Provider), creand impresia legitimitatii si reusind in felul acesta sa induca in eroare foarte multi useri. Deoarece lmhsvc.exe isi plaseaza o copie in folderul System 32, serviciul se activeaza อัตโนมัติ la fiecare pornire a sistemului.
Dupa instalarea sa sub forma de serviciu, worm-ul Ladex executa fisierele %windir%\Smss.exe และ %windir%\Csrss.exe. Cand virusul este activ, aceste doua fisiere ilegitime trebuie sa asigure rularea continua a acestuia prin verificari la fiecare 3 secunde. Iar la fiecare 10 secunde, virusul adauga urmatorii รีจิสทรี in sistem:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run registry key:
Smss.exe %windir%\smss.exe
Csrss.exe %windir%\csrss.exeDe asemenea, virusul incearca, iar de cele mai multe ori reuseste, sa blocheze accesul userilor la บรรณาธิการทะเบียน-
ระมัดระวัง! In cazul in care suspectati nereguli in privinta procesului smss.exe, recomandam efectuarea unei scanari amanuntite de sistem และ dezactivarea sharing-ului in retelele nefolosite.
