Molto spesso, quando mi collego a Internet, l’antivirus Panda, regolarmente aggiornato, segnala il tentativo di intrusione di virus LSASS e Exploit RPC-COM. L’antivirus segnala che vengono bloccati. Come devo fare per evitare questo fastidi …
Molto spesso, quando
mi collego a Internet, l’antivirus Panda, regolarmente aggiornato, segnala il
tentativo di intrusione di virus LSASS e Exploit RPC-COM. L’antivirus segnala
che vengono bloccati. Come devo fare per evitare questo fastidioso
inconveniente? Ho notato la presenza in C\1386 del file LSASS.Ex_; in
c:\Windows\System32 del file lsass.exe; e di un altro file lsass.exe in
C:\Windows\Softwaredistribution\Download\073a8e9684d59d4923c2eb2e44aa36af. Sono
pericolosi? Li posso eliminare?
Il file lsass.exe (Local Security Authority Subsystem
Service) è un componente dell’ambiente software di Windows. È indispensabile
per il funzionamento del sistema e la posizione in cui si trova l’eseguibile è
la sottocartella System32 del percorso di installazione di Windows.
Visto che questo processo è sempre in esecuzione ed è
necessario per il funzionamento del sistema, il famoso worm Sasser (e molti
altri dopo di esso) hanno preso di mira questo programma.
Se il sistema è infettato da Sasser è possibile che il file
lsass.exe, seppure posto nella cartella abituale, sia alterato, ma sta
all’antivirus determinarlo. Evitare nel modo più assoluto di cancellare
manualmente il file se presente nella sua posizione standard. Se invece
esistono sue copie in altri percorsi possono essere eliminate (anche se è
sempre preferibile lasciare che sia l’antivirus, nel corso di una scansione
integrale del computer, a farlo: così facendo si otterrà anche un giudizio
sullo stato di “infezione” del file prima di eliminarlo). La copia presente in
C:\I386 con estensione .EX_ è normalmente una copia di backup compressa del
file salvata da Windows in aree di installazione.
Sono note vulnerabilità di Windows riguardo a lsass.exe e
RPC-DCOM e per quest’ultimo in particolare è stata rilasciata una patch nel
2004. Se il computer è aggiornato a SP2 tale patch dovrebbe essere già inclusa
nell’ambiente software. Consigliamo in ogni caso di procedere all’aggiornamento
a SP3, però solo dopo aver eliminato con certezza il virus.
Se l’antivirus usato è in grado di bloccare ma non eliminare
l’infezione, si può anzitutto tentare di disattivarlo temporaneamente,
installare un diverso antivirus gratuito come AVG o Avast!, aggiornarlo e far
eseguire una scansione integrale del sistema. Se l’eliminazione del virus
riesce in questo modo si potrà poi tornare a usare il prodotto abituale. In
certi casi la rimozione del virus durante l’esecuzione di Windows non riesce
perché i processi infetti sono in esecuzione, ed essendo indispensabili al funzionamento
del sistema non possono essere fermati per “bonificarli”. Avendone la
possibilità si può allora smontare il disco di sistema dal PC e collegarlo a un
altro PC come disco dati (non come disco di avvio), e da questo secondo PC far
eseguire la scansione integrale del contenuto del disco infetto. In questo modo
il virus non può entrare in azione e la copia di Windows in esecuzione durante
la scansione non è la stessa da “bonificare”, di conseguenza l’antivirus ha
maggiori possibilità di riuscita.
Infine, il fatto che gli attacchi siano segnalati
dall’antivirus solo quando ci si collega a Internet potrebbe significare che la
minaccia proviene dall’esterno e che il computer, protetto appunto dal software
di sicurezza, in realtà è assolutamente “sano”. In questo caso non c’è nulla da
rimuovere o ripulire dal PC locale, ma il problema consiste solo nel fastidio
dato dagli avvisi di “minaccia bloccata” ripetutamente visualizzati
dall’antivirus. Alcuni antivirus prevedono un’opzione per disabilitare queste
notifiche automatiche. Un’alternativa può essere quella di installare un
firewall software supplementare che blocchi “senza clamori” queste minacce
prima che possano essere rilevate e fastidiosamente segnalate dall’antivirus
principale.
