Así sabrás qué hace o si el proceso Lsass.exe es un virus

Nada más arrancar nuestro PC basado en Windows 10, en la memoria del equipo se cargan una enorme cantidad de procesos que son importantes para el sistema. Muchos siguen funcionando en segundo plano por una razón u otra, por lo que consumen recursos, como sucede con el caso de Lsass.exe.

Os mencionamos este proceso en concreto debido a que es uno de estos elementos que vamos a encontrar de manera habitual funcionando, pero que desconocemos. De hecho y debido a su consumo de memoria RAM y CPU, algunos piensan que es algún tipo de código malicioso. Es por ello que en estas mismas líneas os hablaremos con detalla del mismo. Y es que debemos sabe que cada PC con Windows tiene cargados una serie de archivos del sistema.

Estos archivos se encargan de diferentes procesos del mismo, como es el caso que nos ocupa. Tal y como os contamos, cuando se enciende un ordenador, múltiples procesos comienzan a ejecutarse en segundo plano. Esto asegura que el equipo funcione correctamente en todo momento.  Uno de ellos es Lsass.exe, que como sucede con otros elementos de este tipo, algunos tipos de malware y virus los usan para camuflarse. Esto quiere decir que los ciberdelincuentes a veces camuflan sus creaciones como procesos tipo lsass.exe. Por tanto debemos saber cómo identificar estos tipos de virus y malware.

Qué es el proceso lsass.exe en Windows 10

Eso sí, lo primero que debemos tener claro es qué es realmente el proceso lsass.exe en Windows 10. Pues bien, lo que debemos saber llegados a este punto es que se trata de un archivo ejecutable de Windows cuyo significado es y Local Security Authority Subsystem Service. De todo ello podemos llegar deducir que este proceso controla las tareas de Windows 10 relacionadas con las políticas de seguridad. Por ejemplo, la verificación del usuario en el servidor, la autenticación del usuario durante el inicio de sesión, los cambios de contraseña, etc.; de ahí su enorme importancia.

Así, cuando se introduce una contraseña incorrecta durante el inicio de sesión en la cuenta en el PC con Windows, es el proceso lsass.exe se pone en marcha. De hecho es este el que nos muestra el mensaje de que la contraseña no coincide. Por tanto, si el proceso lsass.exe falla, el usuario pierde inmediatamente el acceso a todas sus cuentas en el ordenador con Windows. Igualmente es importante saber que este es un que podemos encontrar en el Administrador de tareas de Windows.

Para ello no tenemos más que hacer clic con el botón derecho del ratón en la Barra de tareas y seleccionar Administrador de tareas. Una vez este elemento que os comentamos aparece en pantalla, nos situamos en la pestaña Detalles. Hacemos un poco de scroll hacia abajo y para que podamos ver el proceso que aquí nos interesa, lsass.exe.

Por qué Lsass.exe muestra un alto uso de CPU y RAM

Se puede dar el caso de que en algunas ocasiones, en el propio Administrador de tareas, nos encontremos con que lsass.exe hace un alto consumo de RAM y de CPU. Incluso esto es algo que puede afectar de manera directa al consumo de disco. Esto es algo que vemos en las columnas junto al nombre del proceso en el Administrador de tareas. Pues bien, hay que saber que la mayoría de los procesos de Windows nunca deberían mostrar un alto consumo de RAM y de CPU. Por tanto, si en un momento determinados lo hacen, este es un indicador de que algo va mal. Con esto queremos decir que probablemente un virus o un malware ha entrado en el sistema y se está haciendo pasar por el proceso como tal.

¿Debo finalizar el proceso en Windows?

Como sucede con la mayoría de los procesos que corren en Windows 10, este del que os hablamos en estas líneas se puede finalizar rápidamente. Esto es algo que podemos lograr pinchando en el mismo con el botón derecho desde el propio Administrador de tareas. Sin embargo en este caso concreto, no os recomendamos hacerlo.

Antes os hemos contado la importancia que tiene este elemento en el funcionamiento y seguridad del sistema operativo. Por tanto, debido a que el proceso se refiere a un archivo del sistema, no tiene sentido finalizarlo. De hecho en el caso de que intentemos hacerlo, nos podríamos encontrar con un error crítico del sistema debido a que es un servicio del subsistema de seguridad.

Cómo saber si este proceso en un virus

Del mismo modo os comentamos antes que Lsass.exe es un archivo de sistema. Por lo tanto en un principio no deberíamos preocuparnos por si es una amenaza. Eso en un principio, pero sí que puede haberse convertido debido a algún tipo de ataque externo. Por ejemplo en el caso de que detectemos que Lsass.exe consume demasiados recursos, deberíamos comprobar si es un malware, o no. Así a continuación os vamos a ayudar a saber si es proceso es legítimo, o no.

Comprobar la firma autorizada del archivo

Uno de los métodos de los que podemos echar mano en este sentido, es de nuevo desde el Administrador de tareas. Tenemos que localizar el elemento del que os hablamos como tal en la pestaña Detalles y hacemos clic con el botón derecho para seleccionar Propiedades. Se abrirá una nueva ventana en la que vemos una pestaña de Firmas digitales.

Pues bien, aquí es donde podemos ver a quién corresponde el proceso en sí, por lo que si el archivo es real, el firmante será Microsoft Windows Publisher. También podemos seleccionar esta entrada y hacer clic en el botón Detalles para asegurarnos de que es legítimo y ver el certificado.

Si la firma digital no es de Microsoft, el archivo puede ser un virus o un malware, por lo que os recomendamos escanear con Windows Defender u otro antivirus.

Comprobar la ruta del archivo

Otro método para comprobar si Lsass.exe es un malware o no, es comprobando dónde se encuentra en realidad en el disco. Esta vez tenemos que seleccionar la opción de Abrir ubicación del archivo después de hacer clic con el botón derecho en el proceso. Esto abrirá la ruta donde se encuentra el archivo original a través de una ventana del Explorador de archivos de Windows.

Si la ruta del archivo es diferente a la que os vamos a mostrar, entonces igualmente Lsass.exe puede ser el virus, por lo que debemos actuar como os mencionamos antes y limpiar el PC.

C:/Windows/System32

Fuente: SoftZone https://ift.tt/3gYWSSt Autor: David Onieva