problema con sasser

[rikodj]

Ciao , ho seguito tutte le vs istruzioni su questo virus , nonche' quelle della microsoft , pero' rimane un dubbio: praticamente a computer fermo, guardando nella task manager , c'e' il file lsass.exe che fa muovere la cpu e che soprattutto si moltiplica, principalmente col cavo di rete collegato...

suggerimenti???

grazie

[Dylan666]

Il processo in se e per se non ha nulla di male, è di Windows:

http://www.liutilities.com/products/win ... ary/lsass/

Il problema nasce quando il worm sfrutta in modo negativo quel file.

Se hai messo la patch sei al sicuro. Comunque se vuoi dare una ripassata ai documenti Microsoft tradotti in italiano eccoteli:

http://www.microsoft.com/italy/security ... asser.mspx

[rikodj]

si ma perche' quando inserisco il cavo di rete iniziano a moltiplicarsi i file lsass.exe e appare la clesssidra e il computer e' in attivita' pur non facendo niente???
e' un po' anormale...
che dici??

[Dylan666]

C'è scritto a cosa serve il lsass.exe sul sito che dicevo prima:

Description: Windows Local Security Authority Server Process handles Windows security mechanisms. It verifies the validity of user logons to your computer or server. Technically, the software generates the process that is responsible for authenticating users for the Winlogon service.

Se serve a controllare la validità degli accessi è chiaro che il suo lavoro aumenti quando attacchi la rete. Se poi vuoi fare la prova del nove puoi provare a veder se sugli altri PC c'è o no il virus controllando semplici chiavi...

http://www.microsoft.com/italy/security ... owsXP.mspx

...oppure utilizzando il tool di rimozione automatico...

http://www.microsoft.com/downloads/deta ... laylang=en

...oppure facendo il test on-line (bottone grigio in basso nella pagina):

http://www.microsoft.com/security/incident/sasser.asp

In ogni caso se hai li server patchato (e non fa certo male patchare anche i client) il virus non si può diffondere nella tua rete

[rikodj]

la rete e' una semplice fastweb, ma la cosa strana e' che prima di ricevere il virus , questa attivita di lsass.exe era normale nel senso che non continuava a rimuginare , capisci???
comunque riprovero' i tools che sono cmq negativi....

ho provato anche la rimozione manuale descritta dalla microsoft soprattutto quella nella parte dove spiega limitare i pacchetti tcp in entrata , ma anche li' non sembra limitare niente....

grazie

[Dylan666]

Se sei stato infetto le prove falle accurate, ma da quello che so la patch ti mette al sicuro