LSASS

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacja, szukaj

Local Security Authority Subsystem Service (w skrócie LSASS) – proces systemów operacyjnych w Windows odpowiedzialny za politykę bezpieczeństwa. Weryfikuje użytkowników logujących się do komputera domowego lub serwera, kieruje zmianami haseł i tworzy tokeny dostępu. Ten proces zapisuje również Windows Security Log.

Znany z powodu luki systemowej, która wykorzystywana jest przez robaki komputerowe Korgo.A, Sasser.A, Bobax.A i Gaobot.

Sasser wykorzystuje LSASS do rozprzestrzeniania przez zdalne przepełnienie bufora w komputerach z systemem Microsoft Windows XP lub Windows 2000. Ten robak jest szczególnie niebezpieczny, gdyż potrafi rozprzestrzeniać się bez jakiejkolwiek ingerencji ze strony ludzi, nie rozprzestrzenia się poprzez pocztę elektroniczną jak wiele innych wirusów. Celem tego programu jest instalacja koni trojańskich, dialerów, programów szpiegujących i innych niebezpiecznych aplikacji na komputerze użytkownika. Niektóre programy antywirusowe nie potrafią rozpoznać luki wykorzystywanej przez Sasser, ponieważ jego plik jest ukryty - niemożliwy do namierzenia przez programy antywirusowe. Zajmuje on około 25064 KB, czasem więcej. Najbardziej narażone są systemy Microsoft Windows XP. Sasser może wydać polecenie Lsass który kończy działający program, następnie ukazuje się okienko zawiadamiające, że użytkownik musi zapisać wszystkie dotychczasowe dane przed zamknięciem systemu i rozpoczyna odliczanie czasu do zamknięcia systemu. Tekst komunikatu brzmi następująco:

Trwa zamykanie systemu.
Zapisz wszystkie rozpoczęte prace i wyloguj się.
Wszystkie niezapisane zmiany zostaną utracone.
Zamknięcie zostało zainicjowane przez ZARZĄDZANIE NT/SYSTEM
Wiadomość
System Windows musi być ponownie uruchomiony,
ponieważ usługa Zdalne wywołanie procedur (RPC)
została nieoczekiwanie przerwana.

— Polski tekst okienka wyświetlony na ekranie.

Odliczanie czasu do zamknięcia systemu może być jednak zatrzymane, jeśli zmienimy datę i czas w komputerze lub wpiszemy komendę shutdown -a w Start>Uruchom . Usunięcie robaka jest możliwe poprzez instalację łatki do systemu Microsoft Windows znajdującej się na stronie internetowej Microsoftu.

Linki zewnętrzne[edytuj | edytuj kod]