El proceso “lsass.exe” es fundamental para el correcto funcionamiento de Windows y no debe modificarse de ninguna manera. Sin embargo, se sabe que el malware infecta e incluso prospera en archivos legítimos o se hace pasar por el original en un esfuerzo por engañar a los usuarios para que permitan su ejecución. Este artículo analiza la función del proceso “Isass.exe” y le muestra cómo verificar si un virus lo ha infectado o no.
¿Qué es lsass.exe y qué hace?
“lsass.exe” es un archivo seguro en Windows que juega un papel vital en las operaciones diarias de su PC. Se utiliza para hacer cumplir las políticas de seguridad y tiene que ver con los cambios de contraseña y las verificaciones de inicio de sesión. “lsass.exe” almacena las credenciales en la memoria para habilitar un inicio de sesión único, donde el usuario no tiene que volver a ingresar las credenciales para los servicios dentro del dominio.
Este servicio también está activo en los equipos controladores de dominio (servidores encargados de administrar las redes). En las computadoras del servidor, lsass.exe es responsable de almacenar miles de contraseñas e ID y monitorear el acceso a los recursos. Como resultado, notará que el proceso utiliza más recursos de CPU, RAM y E/S en una computadora controladora de dominio.
Fuente de imagen: Freepik
Aun así, no debería observar un impacto tan significativo en una computadora que no es un controlador de dominio. Por lo tanto, algo está mal si el proceso todavía usa demasiada memoria RAM en su computadora. El escenario más frecuente sería que el supuesto proceso lsass.exe no sea lo que parece ser, en cuyo caso la probabilidad de que haya contraído un virus es relativamente alta.
El malware con frecuencia cambia el nombre del archivo a algo similar para hacerle creer que “lsass.exe” no es un virus. Afortunadamente, hay formas de diferenciar un proceso original de Windows de un duplicado.
Si le preocupa que los virus se apoderen de su PC, consulte esta lista de procesos de Windows más originales que pueden parecer malware.
1. Revisa la ortografía
Un proceso malicioso «lsass.exe» podría usar una «i» mayúscula (I), mientras que el proceso genuino usa una «L» minúscula (l). Los nombres pueden parecer similares, dependiendo de cómo los muestre su computadora, por lo que es fácil confundir uno con el otro.
Puede comprobar si el nombre del archivo es incorrecto utilizando una herramienta de conversión de mayúsculas y minúsculas, como la que ofrece Microsoft Word.
- Copie el nombre del archivo y péguelo en el procesador de textos.
- Haz clic en el botón «Cambiar mayúsculas» del menú en la parte superior y selecciona «MAYÚSCULAS».
Hay otras variaciones del proceso genuino «lsass.exe», y también debe estar atento a ellas:
- lsass.exe
- lsassa.exe
- lsasss.exe
- Isassa.exe
2. Ver su ubicación
El verdadero archivo “lsass.exe” solo se encuentra en un lugar: “C:WindowsSystem32”. Si lo ubica en otro lugar, seguramente es malicioso y debe eliminarse de inmediato.
Puede averiguar dónde se está ejecutando el proceso si lo detecta en el Administrador de tareas:
- Abra el Administrador de tareas presionando Ctrl + Alt + Supr y haciendo clic en el botón correspondiente.
- En «Procesos», desplácese hacia abajo hasta que encuentre el proceso lsass (Proceso de autoridad de seguridad local), haga clic con el botón derecho y seleccione «Abrir ubicación de archivo». Esto debería abrir la carpeta «C:WindowsSystem32».
- Si no puede verlo, cambie a la pestaña «Detalles» y busque «Isass.exe» allí. Haz clic en «Abrir ubicación del archivo».
- Repita las instrucciones para cada archivo «lsass.exe» en el Administrador de tareas. Solo debe haber un proceso en la lista, pero si ve más, todos excepto uno son falsos.
3. Compruebe el tamaño del archivo
Dado que los virus y otro software malicioso suelen utilizar archivos del tamaño de un programa para distribuir malware, puede determinar si «lsass.exe» es el servicio real observando cuánto espacio ocupa el archivo.
- Vaya al Administrador de tareas y abra el archivo «Isass.exe» en su ubicación, como se muestra en la sección anterior.
- Para verificar el tamaño del archivo, haga clic derecho y seleccione «Propiedades».
- La versión de Windows 11 del archivo es de 82 KB, mientras que la versión de Windows 10 debería ser de 57 KB. Para aquellos que aún ejecutan Windows 8, el archivo tiene solo 46 KB. Si el proceso que está viendo es mucho más grande, como unos pocos gigabytes o más, ciertamente no es un archivo original de Microsoft.
Preguntas frecuentes
¿Cómo puedo solucionar los problemas de uso elevado de RAM de lsass.exe?
Si el archivo “lsass.exe” genuino parece estar consumiendo muchos recursos de RAM, debe intentar lo siguiente:
- Realizar un análisis antivirus
- Use los comandos DISM y SFC en PowerShell (administrador)
- Actualizar Windows
- Realizar una restauración del sistema
- Eliminar el archivo del virus “Isass.exe”
¿No le gusta la idea de instalar un programa antivirus de terceros en su PC? Con el Defender integrado de Windows, no es necesario.
¿Cómo elimino el virus lsass.exe?
Primero, ve al Administrador de tareas. En la pestaña «Procesos», seleccione el «lsass.exe» potencialmente malicioso y haga clic en «Abrir ubicación». Si el proceso no está visible, cambie a la pestaña «Detalles».
Luego, regrese al «Administrador de tareas», haga clic con el botón derecho en el proceso «lsass.exe» y seleccione «Finalizar tarea», luego regrese a la ubicación del archivo «lsass.exe» y elimínelo.
¿Por qué no es una buena idea deshabilitar el proceso real de lsass.exe?
Lanzar lsass.exe informa a otros servicios que el Administrador de cuentas de seguridad (SAM) está listo para recibir solicitudes. Deshabilitar este proceso significa que los servicios del sistema no recibirán notificaciones cuando SAM esté listo, lo que puede impedir que se inicien correctamente.
Credito de imagen: Unsplash. Todas las capturas de pantalla por Farhad Pashaei.
Danos tu opinión