lsass.exe系統程序介紹

程序檔案: lsass or lsass.exe

程序名稱: 本地安全許可權服務

描 述: 這個本地安全許可權服務控制Windows安全機制。管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程式等。

介 紹：這是一個本地的安全授權服務，並且它會為使用winlogon服務的授權使用者生成一個程序。這個程序是透過使用授權的包，例如預設的msgina.dll來執行的。如果授權是成功的，lsass就會產生使用者的進入令牌，令牌別使用啟動初始的shell。其他的由使用者初始化的程序會繼承這個令牌的。而windows活動目錄遠端堆疊溢位漏洞，正是利用LDAP 3搜尋請求功能對使用者提交請求缺少正確緩衝區邊界檢查，構建超過1000個"AND"的請求，併發送給伺服器，導致觸發堆疊溢位，使Lsass.exe服務崩潰，系統在30秒內重新啟動。

一種名為avserver.exe的病毒開始在網際網路上流傳，傳播方式類似於blast病毒，該病毒利用微軟windows漏洞傳播，請各位及時搭好windows補丁。

中病毒後症狀

和RPC的那種差不多 連著網一開機過一會就出現一個對話方塊（和XP裡面強行關掉某個程式後出現的那種對話方塊差不多）說 LSA Shell(Export Version)出現問題，叫我選擇除錯/傳送錯誤報告/不傳送錯誤報告

不管選哪個一會就出現一個類似RPC一分鐘關機的對話方塊：說C:\Windows\System32\lsass.exe引起錯誤需要關機，狀態碼是-1073741819 ，然後重啟的時候如果仍然連著網線，登陸XP時還說我密碼錯誤！！斷網就可以登陸了~~

程序裡面有xxxxx_up.exe ，lsass.exe ，avserver.exe 不停的往外建立tcp連線，使得開啟ftp的時候說

no buffer space available

病毒會在windows\system32\下建立一個名為XXXXX_UP.exe檔案，在windows目錄下建立avserver.exe

中毒後暫時的解決辦法：

1.解除關機倒計時視窗：調整系統時間為5.1之前的時間，如4.1號；在執行(run)裡邊執行shutdown -a

2.在系統程序中關閉有xxxx_up.exe avserver.exe程序，拔掉網線，安裝網路防火牆或者開啟windows自帶的防火牆，關閉445埠的通訊

4.安裝系統補丁 ，還可以使用Windows自動更新