Hvad er Lsass?

Det er ikke en virus men den kan blive udsat for det. Synes du kan læse lidt kort om den her http://www.iamnotageek.com/a/lsass.exe.php

Det er en process der står for at autentificere brugere lokalt på en maskine
"It verifies the validity of users logging on to your computer and generates the process responsible for authenticating users for the Winlogon service. If authentication is successful, Lsass generates the user's access token, which is used to launch the initial shell." (kilde: http://www.2-spyware.com/file-lsass-exe.html)

Såvidt jeg lige husker så er det bare at sasser ormen kalder sig dette navn.

Jeg kunne forestiller mig du mere mener lsasss.exe

På mcafee står der også lidt.. samt stærkt relaterede vira http://vil.nai.com/vil/content/v_125007.htm

Det jeg mener er at sasser starter sig selv som en fil med dette navn - det skal så foranlede brugeren (og evt. av) til at tro at det er en helt i orden proces og at den skal være der.
F.eks vil en hijackthis log bare stå at lsass kører - og det skal den.

De er for at forvirre såvidt jeg lige husker det... :-)

lsass.exe er en ren fil.. som jeg siger er det nok lsasss.exe du mente.. og den hedder det for at forvirre som du siger.

Mig bekendt er der tale om at Sasser er en datapakke som skaber en såkalt "buffer overflow" i Windows "Local Security Authority Subsystem Service" (LSASS.EXE).

Sasser er rettet mod Windows XP eller Windows 2000 brugere, som ikke har fået installeret sikkerhedsopdateringen fra Microsoft.

Når Sasser finder en sårbar computer, en den kan komme ind på, skaber den et buffer overflow i LSASS-modulet. LSASS-modulet anvendes til password-godkendelse i Windows.

På min maskine (Windows XP) har jeg haft en fejlmeddelelse om, at en fejl er opstået i LSASS.exe og at programmet lukkes ned. Systemet lukker efter 60 sekunder. Den eneste måde at rette computeren op på igen, er ved ikke at være på nettet. Sasser aktiveres kun når der er adgang til internettet.

Når Sasser har inficeret en uopdateret computer, vil den downloade selve programkoden via FTP.

Sasser ødelægger ikke data på computeren, men computeren bliver næsten ubrugelig indtil Sasser er fjernet, da Sasser belaster computerens ressourcer og internetopkobling.

Med venlig hilsen

TVC

P.S. Er ikke den store Vira nørd men har prøvet Sasser og den er ikke rar.
God skrivelyst!

Ja - korrekt kalp.

Havde ikke lige set det ekstra s.. :-)

Jeps... Min kæreste søster havde sasses - og en uopdateret AV.

Meget svært at nå at hente opdateret av fil eller removal tool på 60 sek.. :-)

Og også svært uden netforbindelse. Så det var lidt en prøvelse men det lykkedes da at få den fjernet.

Med fare for at gentage en del af det der allerede er skrevet *s* :

Grunden til at lsass.exe er forbundet med sasser ormen, er fordi den angriber maskinen på den port lsass.exe lytter på. På ikke opdaterede computere med svage passwords, vil det lykkes for den at få afviklet en stump kode så virus'en kommer ind, og bliver sat til at starte automatisk sammen med windows.
En følgevirkning er at windows opdager at lsass.exe er crashet og genstarter windows. Det er derfor man ser at den tæller ned fra 60 sekunder.

På en ikke opdateret maskine, med et ok password, vil det ikke lykkes at komme ind, men lsass.exe crasher alligevel, og windows genstarter derfor med den samme 60 sekunders nedtælling.

Så at man får den 60 sekunders nedtælling er ikke et tegn på at man har fået virus, men at der befinder sig en virusinficeret maskine på samme netværk som en selv.vide.

Men vel også et tegn på at man ikke er opdateret...

anhansen>> Der kan man bare se:) så snyd den også dig;)

anhansen > Ja, det har du selvfølgelig ret i *s*

anders555 fik du svar nok på dit spørgsmål?

Du har ikke fået afsluttet spørgsmålet efter os.
Er du i tvivl om hvordan det skal gøres så læs her:)

http://expfaq.1go.dk/?id=3#behandling_af_svar

Undskyld jeg ikke har fået afsluttet dette spørgsmål før nu, men tusind tak for alle kommentarene og svarene... de hjalp mig virkelige meget med min opg og jeg fik 10 :-D

Endnu en tak til alle!!!

/anders555