lsass.exe ou lsass.exe?

Notou a diferença?

Não?

Se você está familiarizado com os arquivos do sistema operacional (Windows) este nome não deve lhe parecer estranho. Trata-se de um arquivo que roda um serviço do Windows relacionado com autenticação de usuários - Local Security Authority Service.

Só que na verdade, o que você está vendo aí em cima são dois nomes diferentes e é bom que você saiba a diferença, porque um é este arquivo legítimo do sistema operacional e o outro trata-se de um trojan.

A diferença é que um começa com L (minúsculo) e o outro com i (maiúsculo). Mas, dependendo da fonte no computador L minúsculo e i maiúsculo são exatamente iguais!
Este é um truque utilizado para que você não apague o arquivo confiando que é um arquivo legítimo do sistema operacional.

Um dos primeiros procedimentos que a gente costuma fazer ao perceber que algo está errado com nosso computador é verificar os processos que estão rodando. E lá na janela do Gerenciador de Tarefas essa diferença entre o L e o I é completamente imperceptível se está sendo utilizada a fonte padrão. Aí você é enganado.

Agora que você já sabe deste engodo, procure se certificar que o que está rodando é o arquivo original. Você pode fazer isto, indo para o prompt e usando o comando DIR no diretório System32 e ver o nome verdadeiro do arquivo. Outra coisa importante é ver o tamanho do arquivo. No Win XP SP2 e no 2003 Server ele tem 13 k, no W2k Pro 36 k e no Advanced Server 33 k em valores redondos. Se o tamanho dele for muito diferente disso, suspeite. Pode ser um impostor.

Mas, a troca do LSASS.EXE por um ISASS.EXE não a única artimanha usada por alguns trojans. Se seu sistema não estiver atualizado com o último Service Pack e os patches de correção, uma vulnerabilidade no lsass.exe pode ser explorada.
Na verdade esta vulnerabilidade não é nova; foi descoberta em 2004. Mas nos últimos dias ouvi vários usuários reclamando de extrema lentidão em seus computadores e, para minha surpresa, me deparei com este problema que julgava já estar erradicado. Por isso resolvi postar este artigo, mesmo tratando-se de algo já amplamente divulgado na web.

• Leia o Boletim de Segurança da Microsoft MS04-044

Outras vezes o vírus instala um arquivo como o mesmo nome, porém, em outro diretório e cria uma chave no registro apontando para este arquivo. Neste caso, além de remover o arquivo infectado, você tem que remover a chave LSA Shel (com um l só mesmo!) Export Version.

No entanto, caso não tenha experiência com este tipo de procedimento, sugiro que antes de meter a mão na massa procure as ferramentas de remoção desenvolvidas por vários fabricantes de anti-vírus. Elas vão te poupar muito tempo e esforço.

Aqui você vai encontrar várias delas:

http://www.symantec.com/enterprise/security_response/removaltools.jsp