由于smss.exe进程(Windows会话管理器,负责Windows操作系统启动及操作中的许多的重要步骤)是每一个基于Windows NT(2000/XP/Vista以及Win7)操作系统的电脑上都必须运行的一个关键系统进程,所以smss.exe也是很多木马病毒的感染目标,这些病毒有些会使用相同的名称等方式把自己伪装成Smss.exe进程以便迷惑用户。

以下是一些被杀毒软件截获的相关典型伪装病毒实例

  • 病毒名称:Backdoor.IRC.Flood.F(%SYSTEMROOT%\ SYSTEM32 \ CATROOT)
    • 这是一个后门木马,它包括一个IRC bot,允许远程攻击者发出的命令。 它连接到远程IRC服务器的6667端口。
  • 病毒名称:Win32.Racos.A(%SYSTEMROOT%)
    • 这是一个会记录用户键盘记录的蠕虫病毒,且会尝试将其自身复制到U盘等移动设备上进行传播。
  • 病毒名称:W32.Dalbug.Worm(%SYSTEMROOT%)
    • 这是一个蠕虫病毒,将自身注册为系统服务,名为NtLmHosts。 此外,为了避免被发现,它消除了有关自己在注册表编辑器的运行和注册表项,然后再恢复。

我们首先可以利用以下条件对你系统中运行的此进程进行初步安全判断:

  1. 同时运行着两个smss.exe是有很大嫌疑的;
  2. 此进程必须在C:\Windows\System32\smss.exe位置;
  3. 任何的有关此进程的报错或CPU使用率过高都是危险信号;

对于以上情况或者其他你认为的任何可疑情况都应该立即更新杀毒软件最新病毒库后对电脑进行全盘查杀,这样才能有效的删除smss.exe病毒带来的威胁。