TaironCave|Viendo el mundo desde los ojos de un Gamer/Geek/Friki/Otaku y Mexicano

Bueno como ya en varias ocasiones les he dicho mi hermana tiene la sorprendente habilidad de contaminar su PC con unos virus que me llevan horas quitar este es el caso de Isass.exe, primero una pequeña introducción al virus.

¿Qué es lsass.exe?

Antes de nada originalmente no era un virus se trata de un proceso que se encarga del funcionamiento de los protocolos de seguridad que maneja Windows más concretamente de que estos funcionen correctamente y en orden pero como la mayoría de los programas que desarrolla Microsoft este tiene una vulnerabilidad que fue aprovechada para ser contaminado por el virus W32/Sasser.A.

¿Qué es el virus W32/Sasser.A?

Se trata de un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver “MS04-011 Actualización crítica de Windows (835732)”, http://www.vsantivirus.com/vulms04-011.htm). Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema.

Básicamente una vez que está infectado lsass.exe es como si tu PC tuviera la puerta abierta para ser controlada este es un problema más que nada de los equipos que usan Windows desatendido (ósea pirata) o que simplemente no está actualizado.

¿Cómo elimino W32/Sasser.A o borro el lsass.exe?

Lamentablemente muchos antivirus fallan al momento de detectar este problema con el proceso Isass hasta el momento AVG, AVAST, NOD32, Norton, McAffe parecen no detectarlos Karspesky y Panda lo detectan perfectamente pero la única manera de eliminarlo es borrar el proceso del sistema o que puede acarrear problemas con la seguridad de Windows. La forma más seguro y fácil es instalar cualquiera de los dos antivirus mencionados actualizarlo y listo.

¿Cómo se si mi proceso está infectado?

Bueno este virus se propaga igual por USB asi que básicamente si tienes “ver archivos ocultos” y ven que en una memoria USB existe un archivo autorun y lsass.exe quiere decir que tienes el virus, en algunos equipos más vulnerables esos se reinician cada 60 segundos lo que hace un infierno de virus.

En caso de que no puedan conseguir los antivirus mencionados pueden usar varios de los métodos que ofrecen vsantivirus.

Curiosidades:

• Un error común es confundir Isass.exe con lsass.exe el nombre correcto es lsass.exe y viene de Local Security Authority Subsystem.
• Pertenece al grupo de los virus supercompactos lo cual hace que sea más difícil su detección.
• Al parecer que no lo detecte Nod32 y AVG se debe a quejas de los usuarios por que el antivirus borraba lsass.exe que se considera un proceso importante del sistema.

Se han encontrado con una computadora tan contaminada de virus que no detecta ningún dispositivo si la respuesta es no que suerte tienen pero si trabajan en servicio técnico o en alguna ofician donde tengas PC compartidas este será el pan de cada día para esos casos ahora tenemos la suerte de contar con los antivirus online como PANDA o ESET, las aplicaciones online (o Cloud Computing) son la el futuro del software básicamente todo tendrá que estar conectado a internet para poder funcionar, bueno existen dos antivirus bastantes buenos que he probado son:

• Panda Cloud Antivirus: Probablemente el primer antivirus que trabaja desde la web que realmente funciona, hace años cuando teníamos el bendito virus del USB (que te volvía loca la computadora y te bloqueaba todas las entradas) era la solución más rápida (y económica) por lo que Panda Security gano bastante reputación, uno de los elementos clave de que sea tan bueno es que tiene un bajo consumo de recursos de la maquina ya que solo consume de 17 a 20 mb. Y ocupa unos 50 mb de espacio una vez que se instala la aplicación. Panda Cloud Antivirus recibe actualizaciones de la base de datos por parte de Panda Security Labs y los usuarios de la aplicación por lo que está muy actualizado para combatir a las amenazas.

• ESET Online Scanner: Es la aplicación online antivirus que nos ofrece la empresa ESET quien tiene también al buen nod32 (mi antivirus favorito), de la misma manera que el Panda Cloud Antivirus ESET Online Scanner es una herramienta online y gratuita que se puede ejecutar rápidamente en el navegador solo con descargar su aplicación de tan solo 3 mb e instalar. La ventaja que tiene es que está pensando con el fin de detectar malware y es compatible con varios navegadores no solo con el IE del mal. También está hecha para Windows tanto XP como Vista y tiene una versión para equipos de 64 bits.

Las dos son buenas opciones aunque también puedes usar las dos para hacer un scan regular a tu PC por seguridad o en caso de que el antivirus que actualmente tienes no esté trabajando debidamente. Recuerden que de preferencia solo usen este tipo de aplicaciones si lo ejecutan de la página oficial.