LSASS.EXE y pueto 500

Question

LSASS.EXE y pueto 500

#1302# 11 feb 2005 18:59

Hace unos dias, dicha aplicación tiene mucha insistencia en conectarse a traves del puerto 500/UDP (dirección de entrada). Me gustaría saber si esto es normal. De momento tengo bloqueado el acceso a la aplicación a traves de dicho puerto.

4 respuestas

Answer 1 · 2005-02-11T17:27:09+00:00

Muchos troyanos hacen copias de si mismos en un archivo de ese nombre. Pasate un buen antivirus.

http://www.vsantivirus.com/back-sypofox-a.htm entre otros muchos

Un saludo

#1302# 11 feb 2005 19:30 · Answer 2 · 2005-02-11T17:30:24+00:00

Pues troyano no es. Le he pasado con el antivirus (AntiVir) y el Ad-Aware y nada. También he visto las propiedades del archivo y es el LSASS.EXE de Micro$oft.

Answer 3 · 2005-02-11T18:26:18+00:00

En teoría el LSASS es un proceso de microsoft, que autentifica a los usuarios en el "winlogon", y NO USA la red..... Según muchas webs, hay unos cuantos virus que se pueden esconder tras ese proceso:

The lsass.exe which is from Microsoft is located at c:\windows\System32\lsass.exe . there's a few viruses that have been found to run as lsass.exe to hide from you.

W32.HLLW.Lovgate.C@mm - Symantec Corporation
W32.Mydoom.L@mm - Symantec Corporation
W32.Nimos.Worm - Symantec Corporation
W32.Sasser.E.Worm (Lsasss.exe) - McAfee
Search for this item in the startup DB here.

Descarga y usa herramientas específicas para cada "bicho"....

#1302# 11 feb 2005 20:35 · Answer 4 · 2005-02-11T18:35:17+00:00

Pues no, he rastreado el disco duro y solo tengo un LSASS.EXE y está en Windows\System32. De momento lo tendré a raya "via" cortafuegos.

Se intenta conectar a estos sitios, siempre via UDP y por el puerto 500 dirección hacia afuera:

134.Red-80-25-197.pooles.rima-tde.net
CBL217-132-90-207.bb.netvision.net.il
DSL212-235-83-115.bb.netvision.net.il
cpc2-qlfd2-6-0-cust170.qlfd.cable.ntl.com
80.80.160.46