[lsass.exe]
进程文件: lsass or lsass.exe
进程名称: 本地安全权限服务
描
述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。
介
绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。
今天一种名为avserver.exe的病毒开始在互联网上流传,传播方式类似于blast病毒,该病毒利用微软windows漏洞传播,请各位及时搭好windows补丁
中病毒后症状
和RPC的那种差不多 连着网一开机过一会就出现一个对话框(和XP里面强行关掉某个程序后出现的那种对话框差不多)说 LSA Shell(Export Version)出现问题,叫我选择调试/发送错误报告/不发送错误报告
不管选哪个一会就出现一个类似RPC一分钟关机的对话框:说C:\Windows\System32\lsass.exe引起错误需要关机,状态码是-1073741819 ,然后重启的时候如果仍然连着网线,登陆XP时还说我密码错误!!断网就可以登陆了~~
进程里面有xxxxx_up.exe ,lsass.exe ,avserver.exe 不停的往外建立tcp连接,使得打开ftp的时候说
no buffer space available
病毒会在windows\system32\下建立一个名为XXXXX_UP.exe文件,在windows目录下建立avserver.exe
中毒后暂时的解决办法:
1.解除关机倒计时窗口:调整系统时间为5.1之前的时间,如4.1号;在运行(run)里边运行shutdown -a
2.在系统进程中关闭有xxxx_up.exe avserver.exe进程,拔掉网线,安装网络防火墙或者打开windows自带的防火墙,关闭445端口的通信
3.重启到安全模式,手动删除windows\system32\下的一个名为XXXXX_UP.exe文件,在windows目录下的avserver.exe,以及启动项中的键值
4.安装系统补丁 ,还可以使用Windows自动更新
lsass.exe出乎意料终止,几分钟关机
http://www.chinaitlab.com/www/news/article_show.asp?id=32293
基于 Windows 2000 Server 的域控制器上的 Lsass.exe 进程的内存使用量
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;308356
