¿Qué es la LSA Shell LSASS.EXE?

Los hackers disfrutan de encontrar formas creativas para explotar los archivos críticos del sistema operativo de Windows, y un blanco fácil para la corrupción ha sido el servicio de subsistema de autoridad de seguridad local, o lsass. Lsass gestiona las políticas de seguridad informática y autenticaciones de usuario. Su lsass.exe ejecutable ha inspirado a los virus que secuestran procesos de la CPU y hacer que el equipo se reinicie. Mediante la comprensión de los conceptos básicos de lsass, puede convertirse en experto en la identificación de casos inadecuados del ejecutable y por lo tanto prevenir las infecciones virales.

Propósito

Lsass autentica a los usuarios y hace cumplir la política de seguridad de un ordenador. Cuando un usuario inicia sesión en el equipo, cheques LSASS si las credenciales del usuario son válidas en el equipo y, en su caso, al dominio. Después de validar el usuario, lsass genera un token de acceso y lanza el intérprete de comandos inicial. LSASS también maneja la directiva de auditoría asociado con el ordenador que controla.

componentes

La Autoridad de servicio del subsistema de seguridad local incluye seis componentes. La autoridad de seguridad local, o LSA, gestiona la autenticación de usuarios y privilegios del usuario. El servicio de servidor de LSA dirige la seguridad informática. Los monitores de servicio Net Logon y asegura el acceso del usuario y el ordenador al controlador de dominio. Secure Sockets Layer (SSL) encripta las llamadas de autenticación a un servidor. Los protocolos de autenticación NTLM y Kerberos v5 proporcionan supervisión de protocolos de acceso individuales. Por último, el servicio de cuentas de seguridad actúa como supervisor del proceso LSASS, con lo que los componentes individuales de funcionar juntos.

Instancias

Aunque el archivo lsass.exe principal se encuentra en el directorio C: \ Windows \ System32, múltiples instancias del archivo pueden existir a través de la infección viral. Cuando se produce la infección, podría perder los recursos informáticos valiosos y hacer que el equipo se reinicie o incluso bloquee. Ejemplos de virus que han explotado lsass.exe incluyen W32.Nimos.Worm, W32.Sasser.E.Worm, W32.HLLW.Lovegate.C@mm, Trojan.W32.KELVIR, Trojan.W32.Webus, Trojan.W32. Satiloler, Troya E32.Downloader, y Trojan.W32.Rontokbr.

Problemas conocidos

Si un usuario sospecha que lsass.exe ha sido corrompido por un virus, Microsoft Corporation ha lanzado una herramienta que se llama la herramienta de eliminación de software malintencionado de Microsoft Windows que limpia variantes del gusano Sasser. (Referencia 4) Microsoft Security Bulletin (MS04-11) (Recurso 1) también proporciona una lista de soluciones para ayudar a resolver los errores asociados con lsass que reinicie el equipo. (Referencia 5)