Molto spesso, quando mi collego a Internet, l’antivirus Panda, regolarmente aggiornato, segnala il tentativo di intrusione di virus LSASS e Exploit RPC-COM. L’antivirus segnala che vengono bloccati. Come devo fare per evitare questo fastidioso inconveniente? Ho notato la presenza in C\1386 del file LSASS.Ex_; in c:\Windows\System32 del file lsass.exe; e di un altro file lsass.exe in C:\Windows\Softwaredistribution\Download\073a8e9684d59d4923c2eb2e44aa36af. Sono pericolosi? Li posso eliminare?
Il file lsass.exe (Local Security Authority Subsystem Service) è un componente dell’ambiente software di Windows. È indispensabile per il funzionamento del sistema e la posizione in cui si trova l’eseguibile è la sottocartella System32 del percorso di installazione di Windows.
Visto che questo processo è sempre in esecuzione ed è necessario per il funzionamento del sistema, il famoso worm Sasser (e molti altri dopo di esso) hanno preso di mira questo programma.
Se il sistema è infettato da Sasser è possibile che il file lsass.exe, seppure posto nella cartella abituale, sia alterato, ma sta all’antivirus determinarlo. Evitare nel modo più assoluto di cancellare manualmente il file se presente nella sua posizione standard. Se invece esistono sue copie in altri percorsi possono essere eliminate (anche se è sempre preferibile lasciare che sia l’antivirus, nel corso di una scansione integrale del computer, a farlo: così facendo si otterrà anche un giudizio sullo stato di “infezione” del file prima di eliminarlo). La copia presente in C:\I386 con estensione .EX_ è normalmente una copia di backup compressa del file salvata da Windows in aree di installazione.
Sono note vulnerabilità di Windows riguardo a lsass.exe e RPC-DCOM e per quest’ultimo in particolare è stata rilasciata una patch nel 2004. Se il computer è aggiornato a SP2 tale patch dovrebbe essere già inclusa nell’ambiente software. Consigliamo in ogni caso di procedere all’aggiornamento a SP3, però solo dopo aver eliminato con certezza il virus.
Se l’antivirus usato è in grado di bloccare ma non eliminare l’infezione, si può anzitutto tentare di disattivarlo temporaneamente, installare un diverso antivirus gratuito come AVG o Avast!, aggiornarlo e far eseguire una scansione integrale del sistema. Se l’eliminazione del virus riesce in questo modo si potrà poi tornare a usare il prodotto abituale. In certi casi la rimozione del virus durante l’esecuzione di Windows non riesce perché i processi infetti sono in esecuzione, ed essendo indispensabili al funzionamento del sistema non possono essere fermati per “bonificarli”. Avendone la possibilità si può allora smontare il disco di sistema dal PC e collegarlo a un altro PC come disco dati (non come disco di avvio), e da questo secondo PC far eseguire la scansione integrale del contenuto del disco infetto. In questo modo il virus non può entrare in azione e la copia di Windows in esecuzione durante la scansione non è la stessa da “bonificare”, di conseguenza l’antivirus ha maggiori possibilità di riuscita.
Infine, il fatto che gli attacchi siano segnalati dall’antivirus solo quando ci si collega a Internet potrebbe significare che la minaccia proviene dall’esterno e che il computer, protetto appunto dal software di sicurezza, in realtà è assolutamente “sano”. In questo caso non c’è nulla da rimuovere o ripulire dal PC locale, ma il problema consiste solo nel fastidio dato dagli avvisi di “minaccia bloccata” ripetutamente visualizzati dall’antivirus. Alcuni antivirus prevedono un’opzione per disabilitare queste notifiche automatiche. Un’alternativa può essere quella di installare un firewall software supplementare che blocchi “senza clamori” queste minacce prima che possano essere rilevate e fastidiosamente segnalate dall’antivirus principale.
