Categoría Procesos Sistema Operativo
Categoría Procesos Sistema Operativo

Qué es el proceso lsess.exe

Qué es el proceso lsess.exe

lsess.exe es un nombre de archivo que ha sido identificado de forma consistente por múltiples fuentes de seguridad de Nivel 1 como un componente de software malicioso. No se ha encontrado evidencia que sugiera que este archivo pueda tener un origen o propósito legítimo en un sistema Windows estándar.

El nombre del archivo es una clara táctica de suplantación de identidad. Está diseñado para confundirse visualmente con lsass.exe (Local Security Authority Subsystem Service), un proceso crítico y legítimo del sistema Windows responsable de gestionar las políticas de seguridad y autenticación. Al adoptar un nombre tan similar, el malware intenta pasar desapercibido ante el usuario y evadir detecciones básicas de seguridad, haciéndose pasar por un componente inofensivo del sistema.

Según la documentación de fuentes especializadas, lsess.exe está clasificado como un programa indeseable y ha sido identificado como un componente de múltiples familias de malware, incluyendo el gusano FORBOT-BF y variantes del gusano WIN32.RBOT. Laboratorios de seguridad de Nivel 1 como Dr.Web también documentan su uso por el troyano Trojan.AVKill y el descargador Trojan.DownLoader.

Función principal del proceso lsess.exe

La función principal de lsess.exe es completamente maliciosa y no está relacionada con las tareas legítimas de seguridad que realiza el proceso lsass.exe que intenta suplantar. El propósito de este archivo es comprometer la seguridad del sistema para diversos fines delictivos.

Según el análisis de fuentes especializadas, lsess.exe está asociado con gusanos de la familia RBOT y FORBOT, los cuales son conocidos por proporcionar capacidades de puerta trasera a través de canales IRC. Esta funcionalidad permite a un atacante remoto tomar el control del sistema infectado, ejecutar comandos arbitrarios, robar información confidencial, descargar malware adicional o utilizar el equipo como parte de una botnet para actividades ilícitas.

Además, análisis de laboratorios documentan que variantes de lsess.exe son utilizadas por troyanos como Trojan.AVKill. Este malware crea entradas de persistencia en el registro de Windows con nombres como sysfile y patience, y coloca copias del archivo en rutas como C:\System\SystemExchange\SystemFiles\lsess.exe y en la carpeta de inicio del sistema. Otra variante, asociada a Trojan.DownLoader, instala el archivo en %ProgramFiles%\laomensi\lsess.exe y establece conexiones de red con servidores de comando y control.

Características del proceso lsess.exe

Las características técnicas de lsess.exe han sido documentadas por las fuentes de seguridad y proporcionan indicadores claros para su identificación. La ubicación del archivo en el sistema es uno de los criterios más determinantes para confirmar la infección.

A diferencia del proceso legítimo lsass.exe, que se encuentra exclusivamente en C:\Windows\System32\, el archivo malicioso lsess.exe se ha reportado en diversas ubicaciones. Fuentes de Nivel 1 señalan que la ubicación exacta del archivo puede ser variable, lo cual es en sí mismo un indicador de su naturaleza maliciosa. Los análisis de laboratorios especializados han documentado ubicaciones como C:\System\SystemExchange\SystemFiles\lsess.exe, la carpeta de inicio del sistema, y %ProgramFiles%\laomensi\lsess.exe.

El malware se asegura de ejecutarse cada vez que el sistema se inicia mediante diversas técnicas de persistencia. Se ha documentado que se inicia automáticamente desde entradas Run, RunOnce, RunServices o RunServicesOnce en el registro de Windows. El troyano Trojan.AVKill crea entradas en el registro con nombres como sysfile y patience en las claves de ejecución automática, además de colocar una copia en la carpeta de inicio.

Adicionalmente, el malware despliega comportamientos agresivos para evadir la detección, incluyendo la modificación de la configuración del firewall de Windows para deshabilitar las excepciones, el ocultamiento de archivos y extensiones del sistema, y la terminación de procesos de navegadores como opera.exe, chrome.exe, iexplore.exe y firefox.exe.

Software/programas asociados a lsess.exe

lsess.exe ha sido asociado exclusivamente con software malicioso. No existe documentación que lo vincule a un programa legítimo o a un componente del sistema operativo Windows.

Según fuentes de seguridad de Nivel 1, el archivo está directamente asociado a los siguientes tipos de malware:

  • Gusano FORBOT-BF, bajo el nombre de entrada Sysino
  • Variante del gusano WIN32.RBOT, bajo el nombre de entrada windows firewal
  • Troyano Trojan.AVKill, que modifica el registro y crea múltiples archivos para asegurar su persistencia
  • Descargador Trojan.DownLoader, que instala el archivo en la carpeta laomensi y realiza conexiones DNS a servidores de comando y control

Es importante diferenciar este archivo malicioso del proceso legítimo lsass.exe (Local Security Authority Subsystem Service), que es un componente crítico de Windows ubicado en C:\Windows\System32\lsass.exe y responsable de la autenticación y las políticas de seguridad del sistema.

Seguridad y riesgos potenciales lsess.exe

La presencia del proceso lsess.exe en un sistema Windows representa un riesgo de seguridad crítico. Fuentes de seguridad de Nivel 1 son categóricas al clasificarlo como un programa indeseable y recomiendan explícitamente su eliminación.

El impacto potencial de una infección por este malware es severo. Las capacidades documentadas de las variantes asociadas a lsess.exe incluyen:

  • Control remoto del sistema: Como componente de gusanos de la familia RBOT, proporciona una puerta trasera que permite a atacantes ejecutar comandos de forma remota.
  • Desactivación de medidas de seguridad: El malware modifica la configuración del firewall de Windows para deshabilitar excepciones y el propio firewall, dejando el sistema expuesto a ataques adicionales.
  • Ocultamiento de su presencia: Fuerza al sistema a ocultar archivos ocultos y extensiones de archivos conocidas para dificultar su detección.
  • Terminación de navegadores: Intenta finalizar procesos de navegadores como Chrome, Firefox, Opera e Internet Explorer, posiblemente para interrumpir intentos de buscar ayuda o descargar herramientas de eliminación.
  • Descarga de malware adicional: Variantes como el Trojan.DownLoader están diseñadas específicamente para descargar e instalar componentes maliciosos adicionales.

Ante la presencia de lsess.exe, la acción a tomar es clara e inmediata: debe ser eliminado.

Cómo identificar si es legítimo lsess.exe

Para lsess.exe, no existe un escenario legítimo. Cualquier archivo con este nombre debe ser tratado como malware. Es fundamental diferenciarlo del proceso legítimo lsass.exe.

Las señales de alerta para lsess.exe son claras:

  • Nombre del archivo: El propio nombre lsess.exe es un indicador de amenaza. El proceso legítimo de Windows es lsass.exe, con a en lugar de e. Esta técnica de suplantación por error tipográfico es común en malware.
  • Ubicación del archivo: El proceso legítimo lsass.exe se encuentra exclusivamente en C:\Windows\System32\. Cualquier archivo lsess.exe es malicioso independientemente de su ubicación, pero ubicaciones como C:\System\SystemExchange\SystemFiles\ o %ProgramFiles%\laomensi\ son confirmaciones adicionales.
  • Entradas en el registro: Presencia de entradas como sysfile, patience, Sysino o windows firewal en las claves de ejecución automática del registro.
  • Señales de alerta: Conexiones de red sospechosas, ralentización del sistema, desaparición de la opción para ver archivos ocultos, o la imposibilidad de ejecutar navegadores.
  • Herramientas de verificación: Analice el archivo en VirusTotal, donde será detectado por la práctica totalidad de los motores antivirus.

Prevención

La mejor defensa contra amenazas como lsess.exe es una combinación de buenas prácticas de seguridad y el uso de herramientas actualizadas. Dado que este malware utiliza técnicas de suplantación de procesos legítimos del sistema, es fundamental estar atento a nombres de archivos sospechosos que se asemejen a componentes conocidos de Windows.

Para mantener su sistema protegido, se recomienda:

  • Verificar nombres de procesos: Familiarícese con los procesos legítimos del sistema como lsass.exe. Desconfíe de variaciones en la ortografía como lsess.exe, lsasss.exe, o versiones que sustituyen letras por números.
  • Mantener el sistema actualizado: Aplique los últimos parches de seguridad para cerrar vulnerabilidades que el malware podría explotar.
  • Utilizar software de seguridad confiable: Un antivirus actualizado puede detectar y bloquear amenazas como lsess.exe antes de que se ejecuten.

Si sospecha de una infección o ha identificado la presencia de lsess.exe en su sistema, fuentes especializadas recomiendan descargar Malwarebytes para realizar un escaneo gratuito y eliminar este tipo de programas maliciosos. Para una segunda opinión, puede utilizar Spybot Search & Destroy. Para un diagnóstico rápido de un archivo específico, también puede recurrir a servicios de Antivirus Online.

Los laboratorios de seguridad también recomiendan utilizar herramientas especializadas o discos de recuperación para eliminar la infección si el sistema no puede iniciarse normalmente.

Conclusión

lsess.exe es un nombre de archivo que, según el análisis convergente de múltiples fuentes de seguridad de Nivel 1, corresponde de forma inequívoca a un componente de software malicioso. El nombre del archivo es una clara táctica de suplantación de identidad diseñada para confundir al usuario y hacerle creer que está relacionado con el proceso legítimo lsass.exe de Windows.

Las variantes documentadas de lsess.exe están asociadas con gusanos de las familias RBOT y FORBOT, así como con troyanos y descargadores, todos ellos con capacidades de puerta trasera, robo de información y persistencia en el sistema. La presencia de este archivo en cualquier ubicación del sistema es un indicador definitivo de infección.

La acción recomendada ante la presencia de este archivo no es la eliminación manual, que podría ser incompleta debido a las múltiples ubicaciones y entradas de registro que crea el malware, sino la ejecución de un análisis completo del sistema con herramientas de seguridad actualizadas como Malwarebytes. Este procedimiento es la forma más segura de confirmar la amenaza y eliminarla por completo.

Descargo de responsabilidad

Este artículo tiene fines informativos y no debe considerarse como un consejo técnico o profesional. Para obtener asistencia específica, consulta con un experto en tecnología o seguridad informática.

La información presentada ha sido verificada utilizando fuentes autorizadas de Nivel 1 y Nivel 2, incluyendo laboratorios especializados en seguridad y herramientas oficiales de diagnóstico. Para consultar el listado completo de fuentes reconocidas, políticas de uso y exención de responsabilidad, visite nuestro descargo de responsabilidad y fuentes autorizadas.

Procesos