Início > Uncategorized > Vulnerabilidade do LSASS.EXE ou RPC – vírus Blaster, Sasser, isass.exe, etc

Vulnerabilidade do LSASS.EXE ou RPC – vírus Blaster, Sasser, isass.exe, etc

Existe o LSASS.EXE que é o processo do Windows e o ISASS.EXE que é um vírus. No caso do processo (com letra L de Laranja), o Sasser/Blaster/Bobax/Korgo podem infectar este arquivo. Atualize via www.windowsupdate.com para manter as correções instaladas e atualizadas! Veja este outro tópico sobre Windows Update: http://spaces.msn.com/members/mediugorie/Blog/cns!1p9gFWrrUkicL8WeZJt3H2xA!119.entry

O processo do Windows LSASS.EXE ou Local Security Authority Service é um processo do subsistema de segurança do Windows, e tem a finalidade de validar e verificar os logins de usuários no seu computador ou servidor. Tecnicamente, este processo opera para o serviço WINLOGON.
Se o erro acontece durante a instalação, e você tem ADSL, desconecte o cabo e conclua a instalação.

Correção para o Lsass:
Atualização de segurança para o Windows XP (KB835732)
Atualização de segurança para o Windows 2000 (KB835732)
Atualização de segurança para o Windows Server 2003 (KB835732)
Atualização de segurança para o Windows NT Workstation 4.0 (KB835732)
Atualização de segurança para o Windows NT Server 4.0 (KB835732)

Correção Lsass / Fix Sasser:  http://securityresponse.symantec.com/avcenter/FxSasser.exe

 

Correção para o RPC:
Blaster: Atualização de segurança para o Windows XP
Blaster: Atualização de segurança para o Windows 2000
Blaster: Atualização de segurança para o Windows Server 2003 32-Bit Edition
Blaster: Atualização de segurança para o Windows NT 4.0

Correção RPC / Fix Blaster:  http://securityresponse.symantec.com/avcenter/FixBlast.exe

 

O ISASS.EXE é um vírus que se infiltra no sistema, uma variante do OPTIX PRO TROJAN, que abre a porta TCP 3410 e permite que uma pessoa má intencionada assuma o controle de seu computador. Ele pode ter sido pego em algum site com programação Java hostil, via e-mail como anexo, ou por causa de um firewall/antivírus inexistente ou desativado. O nome, quando digitado em letras minúsculas se assemelha muito com o nome do processo do Windows lsass.exe, e isto faz ele passar quase desapercebido quando acessamos os processos listados no gerenciador de tarefas (Ctrl+Shift+Esc).

Como se não bastasse um vírus chamado ISASS.EXE, e um processo LSASS.EXE vulnerável, existem worms (vírus especializados em desencadear ataques nas redes), como o Sasser, o Blaster e o Win32.Worm.Bobax, variantes A a C que ainda ajudam a aumentar nossas dores de cabeça. Assim, todas as versões de worms como o Sasser, Blaster e Bobax tentam acessar uma faixa de endereços IP verificando se os sistemas apresentam a vulnerabilidade LSASS. Se eles encontram vulnerabilidade, enviam instruções para que o próprio equipamento faça o download e execute um arquivo contendo o código malicioso embutido no worm.
Mas como saber que isto está acontecendo no meu micro.. Um efeito colateral é o estouro de buffer que desencadeia o reinício do computador. Enquanto a vulnerabilidade LSASS somente afeta sistemas Windows XP ou 2000, o Bobax e suas variantes também podem afetar todas as demais versões do Windows. Nesse caso os worms não podem simplesmente entrar nos computadores de forma automática, sendo necessário que o usuário dê uma ajudinha, executando um arquivo que contenha algum exemplar do Bobax para que o equipamento seja infectado. Uma vez instalado no sistema, os worms Bobax abrem vários portas de comunicação de forma aleatória, permitindo a usuários maliciosos utilizar o sistema como um servidor SMTP para o envío de correio eletrônico. Sabe aquela história do seu amigo que te xingou porque mandou um monte de vírus para ele… E na verdade você nem tinha enviado e-mail nenhum na última semana. Para remover o Bobax, use a ferramenta da BitDefender

Recomendações para segurança do micro e remoção de intrusos:

1. Ative o Firewall de Conexão com a Internet no computador afetado.
2. Desconecte o computador da Internet.
3. Reinicie o computador. Se você obter problemas na reinicialização, inicie em modo de segurança.
4. Pressione CTRL+ALT+DEL.
5. Clique em Gerenciador de Tarefas.
6. Clique na guia Processos.
7. Mantenha pressionada a tecla CTRL e clique em C:WINDOWSavserve.exe e c:WINDOWSsystem32*_up.exe.
8. Clique no botão Finalizar tarefa.
9. Clique em Iniciar.
10. Clique em Pesquisar. Localize e apague os seguintes arquivos:
– C:WINDOWSavserve.exe
– C:WINDOWSsystem32*_up.exe
11. Clique em Iniciar novamente, clique em Executar e digite regedit.
12. Clique em OK.
13. No Editor de Registro, localize e apague a seguinte chave do Registro
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "avserve.exe" = C:WINDOWSavserve.exe
14. Conecte o computador à Internet
15. Acesse o site Windows Update e clique no botão Procurar por atualizações disponíveis.
16. Faça o download e instale as atualizações críticas recomendadas após a varredura.
e uma atualização preventiva é essa: http://www.rnp.br/cais/alertas/2004/MS04-011.html

Categorias:Uncategorized
  1. arlekim
    9 de maio de 2005 às 15:24

    Muito bom ..

  2. Myro
    18 de outubro de 2005 às 15:10

    Boa tarde,Fernando, estou com um probleminha com a minha rede, quando conecto ao velox após alguns segundos ela não funciona, quando desligo o winrouter ele volta novamente, só que estava tudo bem antes! Pode ser virús?Valeu e um abraço.

  3. marcelus
    26 de julho de 2006 às 00:32

    estou com um problema
     
    a cada 10 minutos aparece um aviso do avg 7 de que existe um trojan
     
    sao eles
     
    win3c.tmp.exe  (que varia o numero e a letra sempre)  fica alocado em c:windows\temp
     
    e o
     
    srv***(1).exe  (*** é sempre caracteres diferente)  fica alocado em c…temporary internet files\content.ie5\
     
    quando dou a opçao move to vault eles desaparecem, porem passo os anti spayware , antivirus, anti trojan, verifico os registros e os logs no hijackthis porem nada acho.. minhas portas estão apenas abretas para os programas que uso… como faço para essa insistencia de entrada de virus..
     
    obrigado
     
    estarei no aguardo…
     
    marcelus 

  4. Philipp
    9 de maio de 2007 às 15:30

    Bom tarde,Meu nome é Philipp e estou com um problema, a uma semana atrás eu liguei o computador e o Virus Scan encontou um virus chamado Vundo eu estou tentando tirar esse virus da minha maquina mas não estou conseguindo, todos os anti virus que eu passo na maquina não encontram o virus. Por favor vc pode me ajudar a tirar esse virus? meu computador esta em rede e tenho medo que ele se alastre para o servidor ou para outros computadores. Muito obrigado pela atenção, aguardo resposta.

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: