Tema: Isass.exe

[Wolverine]

POST EDITADO POR DABO, WEBMASTER, A LAS 2,13 H DEL 3 DE MAYO

DESINFECCION DEL VIRUS W32/SASSER.A y B


CONVIENE IMPRIMIR POR SI REINICIA

Tras las numerosas consultas del dia de hoy sobre este  problema, y recabando la informacion que se ha ido  plasmando en el foro hemos redactado esta pequeña guia, que esperamos os sea de utilidad, no obstante si alguien observara algun error  agradeceriamos  lo expusiese, este virus entra tipo el blaster y por la ausencia de una actualización de Windows en vuestro PC

:arrow:   Pantallas que muestra...









---------------------------------------------------------------------

RESUMEN  DE ACTUACION

-------------------------------------------------------------------------------------

1º PASO)

:arrow: Detener el reinicio del pc.

- Para detener el reinicio del ordenador y poder descargar el parche tranquilamente, ve  a Inicio/Ejecutar, escribe cmd y acepta. (o pulsa la tecla intro) En la consola de msdos que te saldrá, escribe shutdown -a y despues da a intro y eso cancelará el reinicio.

-----------------------------------------------------------------------------------

2º PASO), APLICAR EL PARCHE DE MICROSOFT

 :arrow: APLICAR EL PARCHE DE MICROSOFT

:arrow: parche de microsoft,  dependiendo de nuestro sistema operativo
.-Para conocer nuestro sistema operativo....  panel de control, sistema, pestaña general.

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx


:arrow: Parche en español para win xp y win xp+sp 1

http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es

------------------------------------------------------------------------------------

3er PASO),

 :arrow: APLICAR VACUNA O HERRAMIENTA DE DESINFECCION, DE MICROSOFT


Sasser.A and Sasser.B Worm Removal Tool (KB841720)



O BIEN:

McAfee AVERT Stinger:

http://download.nai.com/products/mcafee-avert/stinger.exe

SRL (NOD 32):

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sasser

-------------------------------------------------------------------------------------


por ultimo mandarnos un donativo para pagar unas birras a esta gente nuestra del foro tan enrollada :lol:  , un saludo, Dabo, webmaster



AQUI UNA EXPLICACION DE COMO ACTUA EL VIRUS, AL FINAL DE ELLA TENEIS INSTRUCCIONES DE COMO LIMPIAR MANUALMENTE SI FALLA EL PARCHE DE MICROSOFT

  W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS

http://www.vsantivirus.com/sasser-a.htm

Nombre: W32/Sasser.A
Tipo: Gusano de Internet
Alias: Sasser, W32/Sasser-A, W32/Sasser.worm, Win32/Sasser.A,
WORM_SASSER.A
Plataforma: Windows NT, 2000, XP
Fecha: 1/may/04
Tamaño: 15,872 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996

Se trata de un gusano de redes, programado en Visual C++, que
se propaga explotando la vulnerabilidad en el proceso LSASS
(Local Security Authority Subsystem), reparada por Microsoft
en su parche MS04-011 (ver "MS04-011 Actualización crítica de
Windows (835732)", http://www.vsantivirus.com/vulms04-
011.htm).

Afecta computadoras que corran bajo Windows XP o 2000, sin el
parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas
críticas, incluyendo control de acceso y políticas de
dominios. Una de las interfaces MS-RPC asociada con el
proceso LSASS, contiene un desbordamiento de búfer que
ocasiona un volcado de pila, explotable en forma remota. La
explotación de este fallo, no requiere autenticación, y puede
llegar a comprometer a todo el sistema. La naturaleza de esta
vulnerabilidad, se presta a ser explotada por un gusano o
virus informático, capaz de propagarse por las redes, y
"Sasser" es el primero que la utiliza.

El gusano se copia a si mismo en la carpeta de Windows con el
siguiente nombre:

c:\windows\avserve.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).

También crea el siguiente archivo:

c:\win.log

Modifica la siguiente entrada en el registro para
autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve = c:\windows\avserve.exe

El gusano inicia 128 hilos de ejecución para escanear
direcciones IP seleccionadas al azar por el puerto TCP/445,
buscando sistemas vulnerables (TCP/445 es el puerto por
defecto para el servicio vulnerable).

Esto ocasiona a veces, el fallo de las computadoras que no
tienen el parche MS04-011 instalado.

En Windows XP, se muestra una ventana con un mensaje muy
similar al siguiente:

LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos mucho el inconveniente.

En Windows 2000 puede aparecer una ventana casi idéntica a la
provocada en Windows XP por el gusano Blaster (Lovsan):

Apagar el sistema

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante

para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza
diferentes exploits para Windows XP y Windows 2000 (exploit
universal), y para Windows 2000 Advanced Server (SP4
exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos),
es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar
y ejecutar el gusano desde la computadora infectada,
utilizando el protocolo FTP. Para ello, se crea y ejecuta en
dicho equipo un script llamado CMD.FTP. El script descarga y
ejecuta a su vez al gusano propiamente dicho (con el nombre
#_UP.EXE), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los
equipos infectados, con el propósito de permitir la descarga
del gusano en otros sistemas que así también son infectados.

El archivo C:\WIN.LOG registra todas las transacciones FTP
realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de
una vez en memoria 

 4er PASO), CONSEJOS Y ACTUACIONES A LLEVAR A CABO

:arrow: PROCEDIMIENTO MANUAL TRAS APLICAR EL PARCHE


Deshabilitar los recursos compartidos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados,  si alguno no puede borrarlo por indicarle que esta en uso cierre el pocedo en el administrador de tareas..


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\win.log
c:\windows\avserve.exe
c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cinco dígitos, ejemplos:

c:\windows\system32\15643_up.exe
c:\windows\system32\12383_up.exe
c:\windows\system32\21730_up.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


:arrow: Limpieza manual del registro

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

2. Elimine bajo la columna Nombre, la entrada avserve, en la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

.- En Windows NT, 2000 y XP, abra la siguiente clave del registro para buscarla:

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon

3. Cierre el editor del registro.

4. Reinicie el equipo

5. Escanee nuevamente con su antivirus para confirmar la eliminacion del virus




:arrow: Importante:

         En Windows XP debemos deshabilitar la opción "Restaurar Sistema" antes de proceder a la limpieza de éste y otros virus. Sigue éste enlace si no sabes cómo hacerlo

XP
http://www.vsantivirus.com/faq-winxp.htm

ME
http://www.vsantivirus.com/faq-winme.htm


:arrow: Y ademas despues de su eliminacion, activar el firewall del xp o bien instalar uno.

Activar el firewall del XP:

1. Inicio, Panel de Control, Conexiones de Red

2. Botón derecho sobre la conexion a Internet, y seleccionar Propiedades.

3. En la pestaña "Avanzadas" señalar la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet"

4. Aceptar.



:arrow:     Aqui teneis tambien un enlace de descarga y manual de uso, por si decidis instalar el firewall ZoneAlarm..

http://www.daboweb.com/foros/index.php?topic=2420.0


Un saludo

PARA IR AL INDICE DE FOROS PINCHAR EN EL LINK DE ABAJO

www.daboweb.com/foros


------------------------------------------------------
-----------------------------------------------------------------

VARIANTE B

w32/SASSER B

 La versión B del virus W32.Sasser es practicamente igual que su antecesora y de hecho los parches aplicados sirven tanto para una como para otra.

La diferencia que tiene esta segunda versión es que en crea algún archivo diferente a la hora de instalarse.

Las diferencias son las siguientes:

En la versión A el gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:
c:\windows\avserve.exe

En la versión B cambia el nombre un poquito agregando un 2 al final
c:\windows\avserve2.exe

En la versión A modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve = avserve.exe

En la versión B es prácticamente la misma con la misma característica que antes he citado.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve2.exe = c:\windows\avserve2.exe

En las dos versiones da los mismos mensajes de error.

En la versión A se crea el siguiente mutex para no ejecutarse más de una vez en memoria:

Jobaka3l

En la versión B crea los siguientes mutex para no ejecutarse más de una vez en memoria:

Jobaka3
JumpallsNlsTillt

A la hora de hacer la reparación manual deberemos de tener cuidado de eliminar algunos archivos de la versión B que en la A no se creaban, siendo los siguientes:

En las dos versiones se debe de ejecutar el editor de registro (Inicio - Ejecutar - poner regedit - Intro) y buscar en:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

Una vez aquí en la versión A eliminabamos simplemente el archivo:

avserve

Pues bien, después de seguir los mismos pasos en la versión B, debemos eliminar eses mismo archivo y otro con el mismo nombre y el 2 añadido:

avserve2.exe
avserve.exe

Luego tan solo nos queda clickar en registro - salir, aceptar los cambios y reiniciar el PC

---------------------------------------------------------------------
---------------------------------------------------------------------
----------------------------------------------------------------------

W32/Sasser.C. Variante recompilada del Sasser.A
http://www.vsantivirus.com/sasser-c.htm

Nombre:  W32/Sasser.C
Tipo:  Gusano de Internet
Alias:  Sasser.C, W32/Sasser-C, W32/Sasser.Word.c, Win32/Sasser.C, WORM_SASSER.C
Fecha:  2/may/04
Plataforma:  Windows NT, 2000, XP, 2003
Tamaño: 15,872 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996

Se trata de una variante recompilada del Sasser.A, básicamente idéntica en su funcionalidad. Sasser es un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm).

Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático, capaz de propagarse por las redes, y "Sasser" es el primero que la utiliza.

El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:

    c:\windows\avserve.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

También crea los siguientes archivos:

    c:\win.log
    c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cinco dígitos, ejemplos:

    c:\windows\system32\15643_up.exe
    c:\windows\system32\12383_up.exe
    c:\windows\system32\21730_up.exe

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    avserve = avserve.exe

El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables. TCP/445 es el puerto por defecto para el servicio vulnerable, SMB (Server Message Block).

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

En Windows XP, se muestra una ventana con un mensaje muy similar al siguiente:

    LSA Shell (Export Version) ha encontrado un problema
    y debe cerrarse. Sentimos los inconvenientes ocasionados.

En Windows 2000 puede aparecer una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):

    Apagar el sistema

    Se está apagando el sistema. Guarde todo
    trabajo en curso y cierre la sesión. Se perderá
    cualquier cambio que no haya sido guardado.
    El apagado ha sido iniciado por NT
    AUTORITHY\SYSTEM

    Tiempo restante
    para el apagado: xx:xx:xx

    Mensaje
    El proceso del sistema
    C:\WINNT\system32\lsass.exe terminó
    de forma inesperada indicando código 0
    Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE, donde # es un número de cinco dígitos), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.

El archivo C:\WIN.LOG registra todas las transacciones FTP realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:
    Jobaka3l

Un saludo

PARA IR AL INDICE DE FOROS PINCHAR EN EL LINK DE ABAJO

www.daboweb.com/foros



-----------------------------------------------------------------------------------

NUEVA VARIANTE  " D" DEL VIRUS SASSER , VARIAN    DETALLES DEL PROCEDIMIENTO DE LIMPIEZA  ¡¡¡¡ OJO ...!!!


Nota: Es recomendable utilizar un firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


PROCEDIMIENTO DE LIMPIEZA

DETENER EL REINICIO DEL PC

- Para detener el reinicio del ordenador y poder descargar el parche tranquilamente, ve a Inicio/Ejecutar, escribe cmd y acepta. En la consola de msdos que te saldrá, escribe shutdown -a y eso cancelará el reinicio.


APLICAR EL PARCHE DE MICROSOFT

:arrow: parche de microsoft, dependiendo de nuestro sistema operativo
.-Para conocer nuestro sistema operativo.... panel de control, sistema, pestaña general.

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx


:arrow: Parche en español para win xp y win xp+sp 1

http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es



LIMPIEZA

:arrow: Deshabilitar los recursos compartidos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


:arrow: Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


 HERRAMIENTAS ESPECIFICAS DE LIMPIEZA
Descargue y ejecute cualquiera de estas herramientas en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.

McAfee AVERT Stinger
http://download.nai.com/products/mcafee-avert/stinger.exe

Future Time Srl (NOD 32)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sasser


BORRAR MANUALMENTE ARCHIVOS AGREGADOS POR EL VIRUS

:arrow:  Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\win2.log
c:\windows\skynetave.exe
c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cuatro o cinco dígitos, ejemplos:

c:\windows\system32\15643_up.exe
c:\windows\system32\12383_up.exe
c:\windows\system32\21730_up.exe

:arrow:   Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


EDITAR EL REGISTRO

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

skynetave.exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

W32/Sasser.D. Nueva variante del gusano
http://www.vsantivirus.com/sasser-c.htm

Nombre: W32/Sasser.D
Tipo: Gusano de Internet
Alias: Sasser.D, W32/Sasser-D, W32/Sasser.worm.d, W32/Sasser.D, WORM_SASSER.D
Fecha: 3/may/04
Plataforma: Windows NT, 2000, XP, 2003
Tamaño: 16,384 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996

Se trata de una variante básicamente idéntica a las anteriores, es capaz de escanear 200 direcciones IP por segundo.

Sasser es un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm).

Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático, capaz de propagarse por las redes, y "Sasser" es el primero que la utiliza.

El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:
c:\windows\skynetave.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

También crea los siguientes archivos:

c:\win2.log
c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cuatro o cinco dígitos, ejemplos:

c:\windows\system32\15643_up.exe
c:\windows\system32\12383_up.exe
c:\windows\system32\21730_up.exe

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
skynetave.exe = c:\windows\skynetave.exe

El gusano inicia 1024 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables. TCP/445 es el puerto por defecto para el servicio vulnerable, SMB (Server Message Block).

Esta variante es capaz de escanear más de 200 direcciones por segundo.

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

En Windows XP, se muestra una ventana con un mensaje muy similar al siguiente:

LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos los inconvenientes ocasionados.

En Windows 2000 puede aparecer una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):

Apagar el sistema

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE, donde # es un número de cinco dígitos), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.

El archivo C:\WIN2.LOG registra todas las transacciones FTP realizadas.

El gusano crea los siguientes mutex para no ejecutarse más de una vez en memoria:

Jobaka3
SkynetSasserVersionWithPingFast

ENLACE A LA PAGINA PRINCIPAL DEL FORO

http://www.daboweb.com/foros

------------------------------------------------------
------------------------------------------------------



































A ver posteo esto aquí por que de entrada pienso q puede ser algo de lo más tonto seguro, pero me tiene  rayada, por que últimamente me atacan muy a menudo con troyanos ( pero siempre me los para el norton) y ya estoy algo paranoica. La cosa es que lleva todo el día apareciéndome este mensaje del firewall: A remote system is attempting to access Isass.exe on your computer y después la correspondiente opción a bloquear o permitir, yo de momento le doy a bloquear, pero me sigue saliendo y no tengo ni idea de q es ese Isass.exe aunque lo he buscado a conciencia.
 Alguien tiene alguna idea al respecto???

[destroyer]

hola:
Buscado por la red...

  ""servicios de windows la mayoría. Si te vas a MI PC, Panel de Control, Herramientas Administrativas, y Servicios, los veras todos. Te situas encima de cada uno y con el boton derecho del mouse propiedades y verás el tipo de servicio que es"".



lsass.exe
Administrador de cuentas de seguridad
Agente de directivas IPSEC

http://www.wininfo.com.ar/pag2.html

-----------------

Por otro lado, por si acaso;

http://www.vsantivirus.com/back-sypofox-a.htm

[Wolverine]

Vaya rapidez!!! así da gusto :D  
Muchas gracias Dest.
Voy a echar un vistazo a lo q me dices, ya sabía yo q al final no era nada chungo, pero mejor preguntar por si acaso.

[destroyer]

hola wolverine:

    El otro dia Paulet tambien estaba con dudas acerca de este proceso, a ver si se conecta hoy que seguro y conociendole, :lol:  :lol:  :wink:   tiene más detalles que aportar..

un saludo

[w32.spybot]

a mi tambien me suele pasar lo mismo, se quieren conectar desde fuera a issas.exe, yo por si acaso lo bloqueo todo a no ser que este seguro de lo que hago


ISSAS.EXE

Servicios IPSEC
IPSEC es un conjunto de extensiones de la familia del protocolo IP.
Provee autent ificación y verificación de paquetes y la encriptación de los mismos. Es muy
usado en Redes Privadas Virtuales, VPNs (Virtual Private Networks)
Por lo general, un usuario "normal" no ut iliza estos servicios. O sea que lo vamos a
Deshabilitar .
Nombre en Inglés: IPSEC Services (PolicyAgent )
Ejecutable o DLL: lsass.exe

Inicio de sesión en red
Se ut iliza para loguearse/ autent ificarse en un Cont rolador de Dominio (Domain Cont roller)
Se recomienda Deshabilitar a no ser que nuest ra computadora pertenezca a un dominio.
Nombre en Inglés: Net Logon (Net logon)
Ejecutable o DLL: lsass.exe

Proveedor de compatibilidad con segur idad LM de Window s NT
Permite a los usuarios conectarse a una red ut ilizando el protocolo de autent ificacion NTLM.
No es necesario a no ser que ut ilicemos Message Queuing o un servidor Telnet .
Nombre en Inglés: NT LM Security Support Provider (NtLmSsp)
Ejecutable o DLL: lsass.exe

Almacenamiento protegido
Permite almacenar los passwords locales o de sit ios web (Autocompletar) .
A pesar de que esta información se almacena encriptada, si deshabilitamos este servicio,
directamente no se va a guardar, lo cual sería mas seguro aún.
Por otro lado, podríamos requerir de este servicio para administ rar claves privadas para
procesos de encriptado.
Si necesitamos que nuest ra computadora almacene passwords, ya sea para el Out look,
conexión a Internet , un cont rolador de dominio que necesite autentificación, etc... lo
dejamos en Automát ico.
Nombre en Inglés: Protected Storage (ProtectedStorage)
Ejecutable o DLL: lsass.exe

Administrador de cuentas de segur idad
Almacena información de seguridad de cuentas de usuarios locales.
El inicio de este servicio, indica a otros servicios que el subsistema SAM (Security Accounts
Manager) está listo para recibir peticiones. Este servicio no debería ser deshabilitado. Si
hacemos esto corremos el riesgo que algunos de los servicios que lo ut ilicen no se inicien
correctamente. De todas maneras, la decisión corre por nuest ra cuenta.
Nombre en Inglés: Security Accounts Manager (SamSs)
Ejecutable o DLL: lsass.exe

esto es lo que he encontrado de ese servicio

[Dabo]

no os preocupeis por este proceso, es uno de los habituales en el win 2000 o XP, si fuese ptask.exe ... jeje, otro gallo cantaria, pero has hecho bien en postearlo, ante la duda preguntar, lo muevo a seguridad ok ???

[Leandros]

Mmm hablando de pass, me bajé ayer un programa que te ocupa menos de 50 kb que al ejecutarlo te saca todas las pass que tengas almacenadas, pero solo del usuario activo. Lo estoy guardando por que como daré programación quiero ver si puedo modificarlo en un futuro para sacar las pass de todos los usuarios del pc...se podría hacer eso?  :?:

[Dabo]

se puede amigo, no hace falta modificar ese, hay varias formas y programas para eso pero si fuese una red lo mejor seria meter un sniffer, no es muy complicado, con el PW dump y el join the ripper puedes volcar el contenido de los "hashes" o pass de win de la SAM al "active directory" y luego con el join romper los pass

se bueno  :D

[Leandros]

jajajja nono tranquilo si todo es por aprendr, no tengo intención de utilizar nada de esto en ningún sitio :P

[Paulet]

buenas

pues sobre esa aplicación mucho que aclarar no tengo, sólo que en mi caso me pide paso con el cortafuegos y de ahí que la conociera, así que después de informarme un poco, gracias dest, bloquee la aplicación con el cortafuegos y cerre el puerto a cal y canto sin notar ningún inconvenietne en la máquina

saludos