Bueno como ya en varias ocasiones me han traido maquinas y los clientes tienen la sorprendente habilidad de contaminar su PC con unos virus que me llevan horas quitar este es el caso de Isass.exe, primero una pequeña introducción al virus.
¿Qué es lsass.exe?
Antes de nada originalmente no era un virus se trata de un proceso que se encarga del funcionamiento de los protocolos de seguridad que maneja Windows más concretamente de que estos funcionen correctamente y en orden pero como la mayoría de los programas que desarrolla Microsoft este tiene una vulnerabilidad que fue aprovechada para ser contaminado por el virus W32/Sasser.A.
¿Qué es el virus W32/Sasser.A?
Se trata de un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver “MS04-011 Actualización crítica de Windows (835732)”, http://www.vsantivirus.com/vulms04-011.htm). Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado.
LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema.
Básicamente una vez que está infectado lsass.exe es como si tu PC tuviera la puerta abierta para ser controlada este es un problema más que nada de los equipos que usan Windows desatendido (ósea pirata) o que simplemente no está actualizado.
¿Cómo elimino W32/Sasser.A o borro el lsass.exe?
Lamentablemente muchos antivirus fallan al momento de detectar este problema con el proceso Isass hasta el momento AVG, AVAST, NOD32, Norton, McAffe parecen no detectarlos Karspesky y Panda lo detectan perfectamente pero la única manera de eliminarlo es borrar el proceso del sistema o que puede acarrear problemas con la seguridad de Windows. La forma más seguro y fácil es instalar cualquiera de los dos antivirus mencionados actualizarlo y listo.
¿Cómo se si mi proceso está infectado?
Bueno este virus se propaga igual por USB asi que básicamente si tienes “ver archivos ocultos” y ven que en una memoria USB existe un archivo autorun y lsass.exe quiere decir que tienes el virus, en algunos equipos más vulnerables esos se reinician cada 60 segundos lo que hace un infierno de virus.
En caso de que no puedan conseguir los antivirus mencionados pueden usar varios de los métodos que ofrecen vsantivirus.
Curiosidades:
- Un error común es confundir Isass.exe con lsass.exe el nombre correcto es lsass.exe y viene de Local Security Authority Subsystem.
- Pertenece al grupo de los virus supercompactos lo cual hace que sea más difícil su detección.
- Al parecer que no lo detecte Nod32 y AVG se debe a quejas de los usuarios por que el antivirus borraba lsass.exe que se considera un proceso importante del sistema.
bien ahora que ya saben que es este virus,bueno no es el virus en si, se trata de un proceso que se encarga del funcionamiento de los protocolos de seguridad que maneja Windows más concretamente de que estos funcionen correctamente y en orden pero como la mayoría de los programas que desarrolla Microsoft este tiene una vulnerabilidad que fue aprovechada para ser contaminado por el virus W32/Sasser.A desgraciadamente parece que también el virus W32/Rbot-AHW está haciendo de las suyas con este proceso.
En este caso el W32/Rbot-AHW no es tan fácil de eliminar como el W32/Sasser.A pero buscando por ahí descubro que ya existe un tutorial para borrarlo gracias al foro de Spyware, los pasos son los siguientes:
Sigue estos pasos:
1) Ver archivos ocultos
2) Reinicia a prueba de fallos
3) Ejecuta HijackThis con todos los programas cerrados y dale Fix checked a:
- O4 – HKLM\..\Run: [Wind0ws Sharing] ssprotecter.exe
- O4 – HKLM\..\RunServices: [Wind0ws Sharing] ssprotecter.exe
- ssprotecter.exe
- - Pasa al menos 2 de estos Antivirus Online o algún antivirus como No32, Kaspersky o Avast.
- - Limpia el registro con RegSeeker (Te recomiendo Tune- Up) y pasa Ad-Aware actualizado.
- - Elimina cookies y temporales con Disk Cleaner y vacía la papelera (igual recomiendo Tune- Up es mejor aplicación)
Reinicia y el virus fue eliminado (probado en Windows xP y Vista)
