BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

¿Qué es el archivo lsass.exe? (Win XP)

BocaDePez
BocaDePez

Mi firewall me dice que el archivo lsass.exe está intentando conectarse a internet. Yo se lo prohíbo terminantemente, por prudencia :-) , pero me queda la duda. Sé que se trata de un archivo de Win XP, pero ¿a qué se dedica?

Gracias por la ayuda

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
BocaDePez
BocaDePez

Inicio de sesión en red
Se utiliza para loguearse/autentificarse en un Controlador de Dominio (Domain Controller)

Se recomienda Deshabilitar a no ser que nuestra computadora pertenezca a un dominio.

Nombre en Inglés: Net Logon (Netlogon)
Ejecutable o DLL: lsass.exe

BocaDePez
BocaDePez

Es un virus, un troyano de control remoto

🗨️ 5
Bilbokoa

Para algunas personas TODO son virus...

Si es que...

🗨️ 1
BocaDePez
BocaDePez

.

KATOR

Otra vez diciendo tonterias???, como el de los service packs??

Chao.

🗨️ 2
Bilbokoa

Ya he visto, pro desgracia, muchas veces preguntas de personas que plantean dudas como las de este hilo del foroprocesos...y lo que no entiendo es que en la gran mayoria de casos, aqui y en otras webs hay gente que responde inmediatamente diciendo que esos son todo virus que hay que eliminar.

La verdad no entiendo que pretenden hacer diciendo estas cosas. No lo entiendo.

🗨️ 1
BocaDePez
BocaDePez

Mira la noticia del dia 1 de Mayo en referencia al gusano Sasser.A

Picubo

entre otros enlaces este

Saludos.

BocaDePez
BocaDePez

Nombre: Troj/Backdoor.Sypofox.A
Tipo: Caballo de Troya
Alias: Win32.Sypofox, Backdoor.Nickser, Backdoor/Nickser, Troj/Backdoor.Nickser.A, Sypofox,
Win32.Sypofox.A, Win32/Sypofox.A, W32/Sypofox
Fecha: 7/jul/03
Plataforma: Windows 32-bit
Tamaño: ~136 Kb

Troyano escrito en Microsoft Visual C++, y comprimido con la utilidad TeLock, que es controlado vía IRC (Internet Relay Chat). Cuando se ejecuta en la máquina de su víctima, un atacante puede tomar el control de la misma.

Suele distribuirse manualmente, generalmente bajo la premisa de que es una inocente utilidad. Los canales de distribución más usados son el correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros.

Cuando se ejecuta, primero se conecta a un determinado sitio web (http://go.xmain.da.ru), de donde baja un archivo de configuración encriptado.

Este archivo incluye el nombre de un host y un puerto del servidor de IRC al que conectará para recibir las ordenes de un usuario remoto.

El troyano crea copias de si mismo, generalmente con el nombre de LSASS.EXE, en las siguientes ubicaciones:

c:\lsass.exe
%windir%\lsass.exe
%userprofile%\windows\lsass.exe

NOTA: La variable %windir% corresponde a la ubicación de Windows de acuerdo a la versión instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows NT/2000).

La variable %userprofile% corresponde a la carpeta del usuario en Windows 2000 y XP (C:\DOCUMENTS AND SETTINGS\[usuario]).

Para autoejecutarse en cada reinicio, modifica las siguientes entradas del registro. Generalmente solo modifica la primera (HKLM), y solo si falla lo intenta con la segunda (HKCU):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
UserInitialization = %userprofile%\windows\lsass.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
UserInitialization = %userprofile%\windows\lsass.exe

Una vez conectado al servidor de IRC indicado en su archivo de configuración, un usuario remoto podrá realizar las siguientes acciones en el equipo infectado:

* Actualizarse su código
* Conectarse a determinados canales de IRC
* Descargar y ejecutar archivos desde Internet
* Ejecutar aplicaciones en el equipo local
* Ejecutar comandos en el equipo local
* Escanear por servidores IIS vulnerables
* Habilitar sitios FTP con las unidades de disco locales
* Realizar ataques DoS a dirección especificadas
* Terminar su propia ejecución

🗨️ 1
DrMuehehe

Ya se tocó el tema en este link: pq al iniciar windows se intenta conectar NTOSKRNL.EXE y LSASS.EXE

Donde tú dices sí que se trata de un virus, pero hay ubicaciones donde el lsass.exe no lo es ya que se trata de un proceso de windows. A veces el objetivo de los virus es confundir (otro ejemplo de ingeniería social) a los usuarios usando nombres iguales a los de programas legítimos.

janesco

En vsantivirus.com/sasser-a.htm hay informacion sobre este nuevo virus, y cómo evitarlo: basta tener instalado una actualizacion critica publicada por microsoft hace tiempo, la num 835732, que inclueye el parche MS04-011.

saludos :)

🗨️ 2
BocaDePez
BocaDePez

Tengo el virus lsass.exe, e probado mil cosas inutiles para quitarmelo de encima, y lo peor de todo esque te quita tiempo para buscar soluciones por las pags web... SE ACABO!!! :D Cuando os salga el molesto cartelito, id a 'ajustar fecha y hora' y atrasar 2 horitas el reloj de vuestra barra de tareas, la cuenta atrás pasará de ser de 00:00:59, a ser de 02:00:59... no está mal no?? aprovechad para buscar alguna solucion y quitaroslo de encima!! :D un besito!

🗨️ 1
BocaDePez
BocaDePez

para quitar la cuenta atras tienes que meterte en inicio despues en ejecutar escribes cmd y te sale la pantalla de ms dos escribes shutdown y le das a intro y se quita despues mete el parte ms04-011

BocaDePez
BocaDePez

A mi me sale:

LSA Shell (Export Version)

y cre que en contre la solucion en activar los firewalls de Windows XP u otros y bajarse el parche de actualizacion No. KB835732 DEL SITIO DE Microsoft :-D :-D :-D :-D :-D

🗨️ 1
BocaDePez
BocaDePez

Hola! que link es el que dices? perdona pero es que estoy desesperada! atrase el reloj dos horas como alguien dijo antes por aqui y ha funcionado, al menos tenemos mas tiempo para buscar una solucion!

BocaDePez
BocaDePez

No deberíais ser tan ineptos y prepotentes, al investigar un poco encontré que a través de una vulnerabilidad de las lsass.exe el gusano SASSER se propagaba de forma inminente

BocaDePez
BocaDePez

Soy el que hizo la pregunta inicial. ¿es que algunos no leeis? NO ES UN VIRUS, jolín. Si tenéis un virus será por imprudentes (o mala suerte). Dije que sabía que era un archivo de Windows. Lo que quería saber era lo que hacía. Ahora sé que se trata (al parecer) de un programa de políticas de seguridad del XP. Lo que sigo sin saber es si debo abrirle el cortafuegos o si debo cerrarle la salida por completo.

Gracias a los que puedan proporcionar información.

martinxx

lsass.exe es una aplicacion de windows. El virus en custion es el sasser , el cual provoca un error en lsass.