View Full Version : Firewall norton blocca Lsass.exe
Ciao, improvvisamente il firewall di Norton si è messo a segnalare numerosi tentativi del file Lsass.exe di accedere internet in particolare l'indirizzo ip 213.92.106.32: isakmp(500)
(a dire il vero prima dice che un sistema remoto sta cercando di accedere a tale file, ma poi nei dettagli come spiegato sopra)
Cercando nel forum ho trovato davvero poco, ho fatto la scansione con il tool per il worm w32.HLLW.Lovegate.[A-L]@mm ma non ne sono afetto.
Cosa potrebbe essere?
Ciao e grazie
Bloccalo definitivamente :D
ercolino
06-01-2004, 14:55
Originariamente inviato da opiu
Ciao, improvvisamente il firewall di Norton si è messo a segnalare numerosi tentativi del file Lsass.exe di accedere internet in particolare l'indirizzo ip 213.92.106.32: isakmp(500)
(a dire il vero prima dice che un sistema remoto sta cercando di accedere a tale file, ma poi nei dettagli come spiegato sopra)
Cercando nel forum ho trovato davvero poco, ho fatto la scansione con il tool per il worm w32.HLLW.Lovegate.[A-L]@mm ma non ne sono afetto.
Cosa potrebbe essere?
Ciao e grazie
Hai già dato un'occhiata qua?:
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.queen.html
Per nekos2: lo dici "tanto per" o è un consiglio motivato?
Non si tratta del backdoor.queen....
il numero ip corrisponde ad un sito.... ma potrebbe essere del tutto casuale...
Facendo la ricerca qualcuno ha sollevato un possibile legame con eMule, in effetti anche nel mio caso era in esecuzione. Ciò che però è strano è che si è messo a farlo dopo un pò, all'improvviso e non appena o dopo poco installato eMule.
correggo... è partito anche ora senza eMule in esecuzione
Lsass.exe: Local Security Authority Service
"The Windows Local Security Authority Server Process Handles Windows Security Mechanisms. It verifies the validity of user logons to your PC/Server .Technically it generates the process that is responsible for authenticating users for the Winlogon service."
A mia conoscenza non è a rischio infezione. Se non ti da problemi a bloccarlo autorizza il tuo firewall a farlo sempre.
Il problema non è tanto bloccarlo (tenta di collegarsi ad un numero ip sempre uguale, la cosa puzza) ma capire cosa sta succedendo realmente. Pensavo fosse qualcosa di conosciuto, appena riesco faccio una ricerca mooooolto approfondita.
intanto grazie a tutti... :-)
Ma, ti ho già risposto prima: tecnicamente Lsass all'inizio dell'attività verifica la validità dell'utente sul tuo PC/Server. Praticamente genera il processo che è responsabiledi autenticare gli utenti per il servizio di Winlogon. Winlogon è un componente di Microsoft Windows NT che fornisce il supporto per l'accesso interattivo ed effettua una chiamata a una DLL (Dynamic-Link Library, libreria di collegamento dinamico) GINA (Graphical Identification and Authentication) sostituibile per visualizzare un'interfaccia utente di accesso e autenticare l'utente. Come già detto non mi risulta che Lsass sia attaccabile da qualche virus...Lo è invece Winlogon, per esempio dal Worm/Welyah...
Ok la funzione svolta da Lsass posso anche capirla, ma non mi spiego perchè di tutto un tratto debba mettersi a contattare quell'indirizzo. È anomalo! Certo posso farlo bloccare per sempre dal firewall, ma visto che è un qualcosa dal mio pc verso l'esterno ritengo preferibile capire cosa voglia fare e perchè e risolvere.
Che ne dite?
http://it.mcafee.com/virusInfo/default.asp?id=description&virus_k=100930
Potrebbe essere, però devo ancora verificare
Ho provato a fare un Trojan scan al sito
http://scan.sygatetech.com/trojanscan.html
Ha trova to la porta 5000 aperta, segnala come possibili trojan: Bubbel, Back Door Setup, Sockets de Troie
Come è possibile che Norton non si accorga?
ciao e grazie
ercolino
09-01-2004, 23:51
Anche se la porta è aperta non è detto che ci sia un trojan
ok.. ma perchè è aperta?
ho provato con il comando netstat -a -n
secondo voi è tutto normale?
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1039 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1041 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1042 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1059 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1060 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1061 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1062 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1063 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1064 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1065 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1066 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1067 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1068 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1073 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1074 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING
TCP 82.48.164.148:1042 66.102.11.99:80 ESTABLISHED
TCP 82.48.164.148:1048 195.22.198.95:80 TIME_WAIT
TCP 82.48.164.148:1060 212.110.12.173:80 ESTABLISHED
TCP 82.48.164.148:1062 213.152.192.212:80 ESTABLISHED
TCP 82.48.164.148:1064 212.110.12.189:80 ESTABLISHED
TCP 82.48.164.148:1066 212.110.12.189:80 ESTABLISHED
TCP 82.48.164.148:1068 212.110.13.98:80 ESTABLISHED
TCP 82.48.164.148:1074 212.110.13.99:80 ESTABLISHED
TCP 82.48.164.148:7650 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1027 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1027 127.0.0.1:1041 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:1043 TIME_WAIT
TCP 127.0.0.1:1027 127.0.0.1:1045 TIME_WAIT
TCP 127.0.0.1:1027 127.0.0.1:1049 TIME_WAIT
TCP 127.0.0.1:1027 127.0.0.1:1053 TIME_WAIT
TCP 127.0.0.1:1027 127.0.0.1:1055 TIME_WAIT
TCP 127.0.0.1:1027 127.0.0.1:1057 TIME_WAIT
TCP 127.0.0.1:1027 127.0.0.1:1059 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:1061 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:1063 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:1065 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:1067 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:1073 ESTABLISHED
TCP 127.0.0.1:1031 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1038 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1038 127.0.0.1:1039 ESTABLISHED
TCP 127.0.0.1:1039 127.0.0.1:1038 ESTABLISHED
TCP 127.0.0.1:1041 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:1047 127.0.0.1:1027 TIME_WAIT
TCP 127.0.0.1:1059 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:1061 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:1063 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:1065 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:1067 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:1073 127.0.0.1:1027 ESTABLISHED
TCP 169.254.72.123:139 0.0.0.0:0 LISTENING
TCP 169.254.72.123:9321 0.0.0.0:0 LISTENING
UDP 0.0.0.0:68 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1032 *:*
UDP 0.0.0.0:1040 *:*
UDP 82.48.164.148:123 *:*
UDP 82.48.164.148:1900 *:*
UDP 82.48.164.148:13378 *:*
UDP 82.48.164.148:13673 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1900 *:*
UDP 169.254.72.123:123 *:*
UDP 169.254.72.123:137 *:*
UDP 169.254.72.123:138 *:*
UDP 169.254.72.123:1900 *:*
UDP 169.254.72.123:7840 *:*
UDP 169.254.72.123:15560 *:*
io ho avg e kerio. oggi mi è arrivata questa mail:
"hi, I am from Denmark and you'll don't believe me,
but a trojan horse in on your computer.
I've scanned the network-ports on the internet. (I know, that's illegal)
And I have found your pc. Your pc is open on the internet for everybody!
Because the lsass.exe trojan is running on your system.
Check this, open the task manager and try to stop that!
You'll see, you can't stop this trojan.
When you use win98/me you can't see the trojan!!
On my system was this trojan, too!
And I've found a tool to kill that bad thing.
I hope that I've helped you!
greets"
c'era anche un removal-tool allegato, tuttavia non fidandomi di uno qualunque (per di più danese!!!) ho fatto una sicerca sul sito della symantec e della mcafee, senza alcun risultato.
in effetti sulla schermata del kerio personal firewall c'è l'applicazione lsass.exe in fase di listenig...
ho trovato una discussione in cui uno ha ricevuta la mia stessa mail, però è in spagnolo!!!!!
se qualcuno di voi lo capisce può provare a leggerla:
http://www.ciberpc.com/foros/ftopic4444.html
che devo fare???:eek:
è un worm, di preciso non ricordo il nome ma sul sito symantec lo trovi. è uno degli ultimi
non fidarti MAI di mail come questa, anche se conosci il mittente puzzano (ci sono worm che inviano false mail con falsi mittenti)
quindi non aprire mai gli allegati.
se tieni aggiornato antivirus norton è in grado di rilevare questi worm
ciao
ormai le mail le apro solo da internet...:)
Per il problema lsass.exe ho cercato un po'ma non ho trovato soluzioni..anche se non sembra pero'essere un virus od un trojan!
Originariamente inviato da opiu
è un worm, di preciso non ricordo il nome ma sul sito symantec lo trovi. è uno degli ultimi
non fidarti MAI di mail come questa, anche se conosci il mittente puzzano (ci sono worm che inviano false mail con falsi mittenti)
quindi non aprire mai gli allegati.
se tieni aggiornato antivirus norton è in grado di rilevare questi worm
ciao
vuoi dire che ho già un worm attivo sul mio pc, oppure che questo worm si attiva solo se lancio l'allegato?
quali parole chiave devo mettere sul sito symantec per trovarlo?
thanxx
Originariamente inviato da opiu
è un worm, di preciso non ricordo il nome ma sul sito symantec lo trovi. è uno degli ultimi
non fidarti MAI di mail come questa, anche se conosci il mittente puzzano (ci sono worm che inviano false mail con falsi mittenti)
quindi non aprire mai gli allegati.
se tieni aggiornato antivirus norton è in grado di rilevare questi worm
ciao
come? vuoi dire che mi sono GIA' beccato il worm oppure che si attiva solo mandando in esecuzione l'allegato sospetto?
quali sono le parole chiave di questo worm per fare la ricerca su symantec?
thanxxx :D
Dovrebbe essere questo
W32.Sober.C@mm virus
Infatti guarda la mail che ho ricevuto giosto oggi:
hi, I am from Norway and you'll don't believe me,
but a trojan horse in on your computer.
I've scanned the network-ports on the internet. (I know, that's illegal)
And I have found your pc. Your pc is open on the internet for everybody!
Because the smss.exe trojan is running on your system.
Check this, open the task manager and try to stop that!
You'll see, you can't stop this trojan.
When you use win98/me you can't see the trojan!!
On my system was this trojan, too!
And I've found a tool to kill that bad thing.
I hope that I've helped you!
e questo è il messaggio di norton
Norton AntiVirus removed the attachment: remove-smss_tool.exe.
The attachment was infected with the W32.Sober.C@mm virus.
ciao
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.