Smss.exe (Windows 세션 관리자 대 W32 / Ladex.Worm)

Smss.exe가 또는 Windows 세션 관리자 프로세스 관리에 대한 책임 사용자 세션 시스템 (해당 사용자가 해당 시스템에 로그인되어있는 기간)에 등록. 특별히, 이러한 세션의 시작 부분에 Smss.exe가 (프로세스 로깅을 실행하는 일련의 명령을 적용Winlogon.exe가프로세스), 플러스 세트 Win32 시스템 운영에 필요한. 또한, 세트 시리즈 Smss.exe가 시스템 변수.

상대적으로 중요한 시스템 프로세스 Smss.exe가도 고려되지만 온라인 공격에 취약 처리. 그것은 폴더에있는 합법적 있습니다 C : \Windows System32같은 이름이나 과정과 비슷 적어도 모든 파일의 발견을 나타냅니다 바이러스, 트로이의 또는 스파이웨어 시스템의

W32 / Ladex.Worm 를 통해 확산 바이러스 계정이 여기에 열리거나 공유. 그것은 특정 시스템을 연결 악의있는, 포함 Smss.exe가 파일 (정상 프로세스와 동일한 이름)입니다. 그런 다음 액세스하려고 서비스 제어 관리자 원격 시스템 서비스 공격을 설치합니다. 이 서비스는 가짜 (Lmhsvc.exe) 호출 NtLmHosts (또는 TCP / IP NetBIOS를 제공), 합법성의 인상을 만들어 많은 사용자를 오도하는 데 성공했습니다. lmhsvc.exe는 폴더에 사본을 저장하므로 System 32, 서비스가 활성화되었습니다 자동적 인 모든 시스템 시작시.

서비스의 형태로 설치 후 웜 파일 Ladex을 실행 % WINDIR % \ Smss.exe가 si % WINDIR % \ Csrss.exe가. 바이러스가 활성화되면 불법이 두 파일에 의해 서비스의 지속적인 실행을 보장해야 모든 3 초 확인. 그리고 모든 10 초, 바이러스는 다음과 같은 기능이 추가되어 레지스트리 시스템 :

HKEY_LOCAL_MACHINE \ 소프트웨어 \ Microsoft \Windows\ CurrentVersion \ 레지스트리 키 실행 :
Smss.exe가 % WINDIR % \ Smss.exe가
Csrss.exe가 % WINDIR % \ Csrss.exe가

또한, 바이러스 시도하고 더 자주하기에 앞서,에 사용자의 접근을 차단하는 레지스트리 편집기.

경고! 의심 요철 Smss.exe가 프로세스에 관한 경우에, 우리는을 수행하는 것이 좋습니다 철저한 시스템 스캔 si 공유 사이트를 사용하지 않도록 설정 사용하지 않는 네트워크를합니다.

Smss.exe (Windows 세션 관리자 대 W32 / Ladex.Worm)

저자에 관하여

스텔스

모든 가제트와 IT에 대한 열정, 나는 스텔스에 대한 즐거움으로 글을 씁니다.settings.com은 2006 년부터 컴퓨터와 운영 체제에 대한 새로운 것을 발견하고 싶습니다. macOS, Linux, Windows, iOS 및 Android.

코멘트를 남겨