Comunicacion remota con lsass.exe

Fue el Sábado, 3 de Julio de 2004 16:32 cuando Claudio escribió:

Hola: Mi firewall me alerto que un equipo remoto intenta obtener
comunicación con isass.exe, en Windows/System 32/isass.exe desde la
dirección IP 217.187.125.55:63921 a través del puerto 500 , se que
lsass.exe es parte de Windows y creo haber leído en estos foros algo sobre
eso.¿alguien me lo puede aclarar?

LSASS, (Local Security Authority Subsystem) es el proceso responsable de la
autentificación de usuario para el servicio Winlogon , también asume el
control de acceso y
politicas de dominio. El ejecutable legal de windows está ubicado en el
directorio c:\windows\system32. En cualquier otra ubicación, supone, la
instalación de un troyano, gusano, virus o cualquier clase de malware en
general.

En determinadas circustancias LSASS utiliza puertos TCP aleatorios que se
asignan mediante el servicio RPC. El puerto 500 es utilizado en conexiones
IPSEC (IP security, mecanismos de encriptación utilizados en conexiones
remmotas por el protocolo IPv6), a redes VPN (Virtual Private Network).
Consultando Google, he encontrado que en determinados casos el antivirus
de Norton puede utilizar este puerto, usando el protocolo LSASS para
mecanismos de autentificación. Deberás valorar las circunstacias... pero
todo indica que alguien esta intentando acceder a tu PC a traves de VPN.


Fernando M.