January 13
Windows utilizza piccoli programmi per gestire particolari funzioni del sistema operativo. Uno di questi programmi è il Security Authority Subsystem Service locale o lsass.exe. Questo programma viene utilizzato da Windows per gestire come il computer registra in una rete locale; è uno degli strumenti che gestisce la sicurezza e l'autenticazione, tra cui accedendo al proprio account di Windows.
Il programma vero e proprio vive in C: \ Windows \ System32 \, ed è incluso come parte di Windows, e periodicamente ottiene aggiornamenti quando Windows viene eseguito. Nel mese di agosto del 2004, vi era un rischio di sicurezza noto con il file, documentato nel Bollettino Microsoft sulla sicurezza MS04-011. Senza l'aggiornamento, vi era un rischio per la esecuzione di codice remoto. Come lsass.exe è costantemente utilizzato da Windows, questo è stato considerato un rischio molto elevato minaccia.
Per i sistemi che non eseguono la patch fornita nel bollettino MS04-011 di sicurezza, un viale è stato aperto per un worm che è diventato molto diffuso, chiamato Sasser. C'erano cinque varianti del worm Sasser, con varianti da A a D rilasciato entro poche settimane l'uno dall'altro, e la variante E rilasciato poco dopo un adolescente tedesco è stato arrestato per la creazione di esso. L'aggiornamento della protezione agosto 2004 ha rimosso la vulnerabilità al worm Sasser. Il principale sintomo di Sasser per la maggior parte degli utenti domestici è verificato un errore del computer lsass.exe, seguito da un timer di spegnimento.
Anche se non è più diffusa, ci sono una serie di computer che eseguono Windows XP che hanno ancora il file lsass.exe originale, senza patch. Una correzione per la rimozione del worm Sasser può essere trovato nel l'aggiornamento critico KB841720 disponibile presso update.Microsoft.com. Poco dopo Microsoft ha rilasciato lo strumento di rimozione, ogni venditore anti-virus ha anche rilasciato uno strumento simile.
Lsass.exe è anche una via per un'infezione diversa, non di programma Lsass stesso, ma attraverso l'ingegneria sociale. Microsoft utilizza un sans serif per i nomi di file di sistema, il che significa che lsass.exe e Isass.exe sembrano quasi identici se visti uno accanto all'altro, il secondo utilizza un maiuscola "I" mentre il primo utilizza un minuscolo "L." Isass.exe è il file utilizzato per distribuire il virus Optix.Pro, che è un virus che disattiva misure di sicurezza locali. Isass.exe non vada in crash il computer, ma renderà molto più facile per il computer per ottenere un altro, l'infezione più pericolosa. strumenti antivirus da circa 2.005 hanno avuto correzioni per Isass.exe