Simone
不是木马。lassas。exe本地安全权限服务控制Windows安全机制。管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序等。它会为使用Winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的Shell。其他的由用户初始化的进程会继承这个令牌的。而Windows活动目录远程堆栈溢出兆判辩漏洞,正是利用LDAP 3搜索请求功能对用户族缺提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使LSASS.EXE服务崩溃,系统在30秒内重新启动。这里请记住该进程的正常路径为C:\WINDOWS\system32,一些病毒,如W32.Nimos.Worm病毒会在其它位置模仿LSASS.EXE来运行冲岁。
