由于smss.exe进程(Windows会话管理器,负责Windows操作系统启动和操作中的许多重要步骤),必须在基于Windows NT操作系统(2000/XP/Vista)的所有计算机上运行和Win7)。系统的关键过程,所以smss.exe也是许多木马病毒的目标。其中一些病毒将使用相同的名称将自己伪装成Smss.exe进程以混淆用户。
以下是防病毒软件截获的典型伪装病毒的一些示例:
病毒名称:Backdoor.IRC.Flood.F(%SYSTEMROOT%\ SYSTEM32 \ CATROOT)
这是一个后门特洛伊木马程序,其中包含一个允许来自远程攻击者的命令的IRC机器人。它连接到远程IRC服务器的端口6667。
病毒名称:Win32.Racos.A(%SYSTEMROOT%)
这是一种蠕虫,可以注册用户的键盘记录程序,并尝试在USB闪存驱动器等移动设备上进行复制。
病毒名称:W32.Dalbug.Worm(%SYSTEMROOT%)
这是一种将自身注册为名为NtLmHosts的系统服务的蠕虫。此外,为了避免被发现,它会在注册表编辑器中删除自身的执行和注册表项,然后还原它们。
首先,我们可以使用以下条件对您系统上运行的此进程做出初步安全判断:
同时运行两个smss.exe非常可疑;
此过程必须位于C: \ Windows \ System32 \ smss.exe;
与此过程相关的任何错误或高CPU使用率都是一个危险的信号;
对于以前的情况,或者创建应立即最后一个数据库杀毒软件的病毒后更新任何其他可疑情况,计算机可以完全验证,有效地去除造成的smss.exe病毒的威胁。
