实战病毒木马之三：smss病毒处置报告

1 问题发现

2020年6月23日，网络工程师在防火墙巡检中发现USB管控软件服务器（192.168.15.8）有流量异常，该服务器对外有大量尝试连接的SYN包。该服务器购买于2011年，目前属于超长服役中，主要用于USB管控软件的服务端，网络上是禁止连接互联网的。该服务器于2020年4月16日首次部署公司统一的防病毒软件。

查看防病毒后台日志，该服务器未见异常。防病毒软件全盘扫描，未检测出威胁。查看IDS日志，未见异常日志。难道说遇到了传说中的高手？看来只能尝试手工排查了。

2 手工排查

2.1 检查网络连接状态

登录该服务器，netstat -aon命令查看网络连接，发现有大量的对外主动发起连接的SYN包，目的IP地址为1.5.166.244（IP归属地为日本东京），没有已建立的外网网络连接，这属于合理现象，因为该服务器没有出外网的权限。该异常连接对应的进程PID为9076。

2.2 检查异常进程

通过PID找到该异常连接的进程为smss.exe。上网查找资料， smss.exe（Session Manager Subsystem）进程为会话管理子系统用以初始化系统变量，正常路径在C:WindowsSystem32和C:WindowsServicepackfilesi386下面。而异常进程文件smss.exe在C:windowsfontskins文件夹下，显然有异常，很可能是病毒木马伪装的。

2.3 检查文件属性

选中文件右键查看文件属性，该文件的详细信息中，各类值几乎为空，这更加可疑，该文件的修改日期是2020年3月30日，早与防病毒软件安装日期2020年4月16日。

2.4 病毒云查杀

将该可疑文件上传至病毒扫描平台www.virscan.org，49款软件均没有发现病毒。说明该恶意程序是做了精心的免杀处理，目前绕过主流的杀毒软件。

2.5 可疑文件删除

压缩备份smss.exe文件后，选择删除该文件，提示无法删除，并导致系统卡死，重启系统后该文件被删除，过了会儿该文件又复活，说明有守护进程。查看其它相同操作系统的服务器，C:windowsfonts文件夹下压根就没有kins文件夹，将该文件夹压缩备份，用pchunter工具将该文件夹强制删除。

2.6 检查注册表

查询smss关键字，找到注册表中相关的项，并删除。

2.7 系统账户查询

这是一台超出服役的服务器，有必要查一下是否有系统后门账号。通过查询系统账户，发现两个可疑账户KlNagSvc和qli，跟USB管控软件的厂家工程师确认，该软件部署过程中没有在系统中新建专用账号。经查KlNagSvc为防病毒软件建立的账号，可排除，而另一个账户很可能是攻击者留下的后门账号，直接将其删除。