Smss.exe (Windows Session Manager vs W32/Ladex.Worm)

Smss.exe sau Windows Session Manager este un proces responsabil cu administrarea sesiunilor userilor inregistrati pe un sistem (perioadele de timp in care respectivii useri sunt logati la acel sistem). Mai exact, la inceperea unei astfel de sesiuni, smss.exe aplica o serie de comenzi care lanseaza procesul de logare (winlogon.exe) plus o serie de procese Win32 necesare functionarii sistemului. De asemenea, procesul smss.exe seteaza si o serie de variabile de sistem.Desi este un proces de sistem relativ important smss.exe este considerat si un proces vulnerabil la atacurile online. Acesta este localizat, legitim, in folderul C:\Windows System32, iar descoperirea vreunui fisier cu acelasi nume sau cel putin asemanator cu al procesului indica prezenta unui virus, trojan sau spyware in sistemul dvs.
W32/Ladex.Worm este un virus care se raspandeste prin intermediul conturilor deschise sau share-uite. Acesta ataseaza sistemului anumite fisiere malware, printre care si fisierul smss.exe (nume identic cu al procesului legitim). Apoi incearca sa acceseze Service Control Manager pentru a se instala, prin remote, ca serviciu al sistemului atacat. Acest serviciu fals (lmhsvc.exe) poarta numele NtLmHosts (sau TCP/IP NetBIOS Provider), creand impresia legitimitatii si reusind in felul acesta sa induca in eroare foarte multi useri. Deoarece lmhsvc.exe isi plaseaza o copie in folderul System 32, serviciul se activeaza automat la fiecare pornire a sistemului.
Dupa instalarea sa sub forma de serviciu, worm-ul Ladex executa fisierele %windir%\Smss.exe si %windir%\Csrss.exe. Cand virusul este activ, aceste doua fisiere ilegitime trebuie sa asigure rularea continua a acestuia prin verificari la fiecare 3 secunde. Iar la fiecare 10 secunde, virusul adauga urmatorii registrii in sistem:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run registry key:
Smss.exe %windir%\smss.exe
Csrss.exe %windir%\csrss.exe

De asemenea, virusul incearca, iar de cele mai multe ori reuseste, sa blocheze accesul userilor la Registry Editor.
Atentie! In cazul in care suspectati nereguli in privinta procesului smss.exe, recomandam efectuarea unei scanari amanuntite de sistem si dezactivarea sharing-ului in retelele nefolosite.