SMSS.EXE または Windows セッションマネージャ それは管理を担当するプロセスです ユーザーセッション システム(それぞれのユーザがそのシステムにログインされている期間)に登録されている。 具体的には、セッションの開始時にSMSS.EXE(プロセスログを起動し、一連のコマンドを適用winlogon.exeが)、プラスの一連のプロセス Win32 システム動作のために必要。 また、セットと直列SMSS.EXE システム変数.
相対的に重要なシステムプロセスSMSS.EXEも考慮されていますが オンライン攻撃に対する脆弱性プロセス。 これは、フォルダ内の正当な位置しています C:\Windows System32と同じ名前を持つ、またはプロセスに似て少なくとも任意のファイルの発見を示し ウイルス, トロイの または スパイウェア あなたのシステムで
W32 / Ladex.Worm 広がるウイルスである アカウントはここで開かれたまたは共有。 これは、特定のシステムにアタッチ 悪意のある、SMSS.EXEファイル(合法的なプロセスと同じ名前)を含む。 その後、アクセスしようとする サービスコントロールマネージャ リモート、システムサービス攻撃をインストールします。 このサービス偽物 (Lmhsvc.exe)と呼ばれる NtLmHosts (または TCP / IPのNetBIOSプロバイダ)、正当性の印象を作り出し、多くのユーザーを誤解させることに成功しました。 lmhsvc.exeはそのフォルダにコピーを配置するため System 32、サービスがアクティブ化されます 自動 すべてのシステムの起動時に。
サービスの形でインストールが完了すると、ワームはファイルLadexを実行 %WINDIR%\ SMSS.EXE si %WINDIR%\にCsrss.exe。 ウイルスがアクティブになっている場合、非嫡出これら2つのファイルがすることによって、サービスの連続運転を確保する必要があります 毎3秒チェック。 そして、すべての10秒、ウイルスは以下を追加します レジストリ システム内の:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run registry key:
Smss.exe %windir%\smss.exe
Csrss.exe %windir%\csrss.exeまた、ウイルスの試み、そしてより頻繁に前には、ユーザーへのアクセスをブロックする レジストリエディタ.
警告! 疑いのある凹凸がSMSS.EXEプロセスに関してならば、我々は実行をお勧め 徹底的なシステムスキャン si 共有サイトを無効にする 未使用のネットワークである。
