很多朋友对于lass.exe—lass.exe是什么和不太懂，今天就由小编来为大家分享，希望可以帮助到大家，下面一起来看看吧！

大东：小白，你看什么呢，这么起劲。

小白：变形金刚啊，里面的震荡波好厉害啊。

大东：那你知不知道电脑病毒也有一个震荡波，也特别厉害。

小白：不知道啊，东哥，快给我讲讲呗。

二、话说事件——震荡波电脑病毒爆发

大东：震荡波电脑病毒于2004年4月30日爆发，短短的时间内就给全球造成了数千万美元的损失。

小白：那中了震荡波病毒电脑会有什么特征呢？

大东：电脑一旦中招就会莫名其妙地死机或重新启动计算机，而在纯 DOS 环境下执行病毒文件，则会显示出谴责美国大兵的英文语句。

小白： 真是令人难忘的4月啊。

大东： Sasser（震荡波）LSASS 蠕虫病毒是一款使用 Visual C 语言编写的自身执行传播的病毒。

小白： C语言编写？

大东： 是的，它主要针对 eEye 安全小组发现的 Microsoft LSA 缓冲区溢出漏洞进行攻击。

小白：这个病毒是有目的性的攻击？

大东：没错，Sasser 蠕虫所使用的攻击是溢出攻击代码，该攻击代码经测试是针对 Windows 2000 Professional，Windows 2000 Server 和 Windows XP Professional 等操作系统的英文和俄文版的操作系统。

小白：那也就意味着有些系统并不会感染震荡波病毒对吗？

大东：由于蠕虫使用的攻击代码本身的缺陷， 它只能影响到 Windows XP 和一些特定版本的 Windows 2000 Professional。 目前没有任何特征表明除了传播外该病毒还有什么其他破坏性（给受害系统带来副作用）。

小白：即使这样，这个病毒也带来了不少的损失啊。

大东：损失大概在上亿美元。由于环境不同，各种行业系统感染“震荡波”病毒以后表现也不同。在金融系统主要表现为服务器停止响应用户的账单申请。

小白：那就不能通过网络查询、办理业务了啊。

大东：电信和网络运营商可能因感染病毒使用户无法接入 Internet；个人用户会因电脑频繁启动、响应缓慢而无法正常工作。

小白：那对我们日常使用电脑和生活影响还是挺大的。

大东：不仅如此，该病毒会使 Windows 系统的“安全认证子系统”（LASS）崩溃，使与安全认证有关的程序出现严重运行错误；有些特殊行业用户还可能因系统意外停机而造成数据丢失或损毁，后果十分严重。

大东：由于该病毒导致电脑频繁重新启动，不明原因的用户往往会怀疑是主板等硬件故障。

小白：那病毒是如何通过计算机传播的呢？

大东：不要着急，这就慢慢讲给你听。

三、大话始末

大东：病毒运行时会不停地利用 IP 扫描技术寻找网络上系统为 Win2K 或 XP 的计算机，找到后就利用 DCOM RPC 缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启，甚至导致系统崩溃。

小白： 那我换一个系统不行吗？

大东：另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。

小白： 好可怕。

大东：为了确保病毒体在系统重启能构再次被执行，一个新的病毒体 Sasser 会把他自己拷贝到当前操作系统的系统根目录（\\WINDOWS或者\\WINNT）并且在注册表中添加键值。

大东：在感染完成后如果该计算机已经被该病毒感染过，这个新感染的病毒体会通过一个名为 Jobaka3l 的互斥体检测到并立刻停止感染。

小白：如果是第一次受到感染呢？

大东：如果病毒实体是第一次感染该计算机，它将打开一个使用端口5554的 FTP 并且创建128个线程开始无限传播循环。

大东：传播过程中， Sasser 仅挑选随机的 IP 地址进行扫描和攻击。当感染了该网段的某台主机后，病毒会随机将尝试攻击的范围扩展到部分或者是整个网段。

小白：都是随机的？

大东：任何一次尝试中，大概有52%的机率IP地址是完全随机的，其中25%的机率IP地址的前16个字节将和本地IP相同。（最后8个字节随机），余下23%的机率是本地IP的前面8个字节将被使用（剩下的24个字节随机）。 随机的8个字节将在0和254随机通过特殊的函数产生。

小白：如果成功连接到随机的 IP 地址那是不是就算感染成功了？

大东：蠕虫会尝试连接随机产生的IP地址的计算机系统 TCP 端口445，如果成功，病毒将发出一系列的数据包确认对方所运行的Windows系统版本。一旦操作系统的版本已经选定，Sasser 蠕虫将发送 LSA 攻击代码并且尝试连接 TCP 端口9996以获得命令行下的 shell。如果成功，病毒会在受害的计算机上执行如下命令去下载并且运行蠕虫的可执行文件。

小白： 之前好像是有一个冲击波病毒，他们两个的名字好像啊，他们二者有什么关联呢？

大东：与 MSBlaster（冲击波）RPC DCOM 蠕虫相似，Sasser 使用了一个公开的 LSA 缓冲区溢出漏洞的攻击代码去攻击并试图获得受害主机的一个命令行下的 shell。

小白：那不同点呢？

大东：第一点不同是利用的漏洞不同。

小白：震荡波病毒利用的是系统的 LSASS 服务。

大东：对的，该服务是操作系统的使用的本地安全认证子系统服务。

小白：那冲击波利用的是什么漏洞呢？

大东：冲击波病毒利用的是系统的 RPC 漏洞，病毒攻击系统时会使 RPC 服务崩溃，该服务是 Windows 操作系统使用的一种远程过程调用协议。

小白：哦哦哦，了解了，那还有别的不同吗？

大东：两种电脑病毒产生的文件不同。

小白：结尾都是.exe文件吧。

大东：是的，但是冲击波病毒运行时会在内存中产生名为 msblast.exe 的进程，在系统目录中产生名为 msblast.exe 的病毒文件，震荡波病毒运行时会在内存中产生名为 avserve.exe 的进程，在系统目录中产生名为 avserve.exe 的病毒文件。

大东： 而且他们两种病毒攻击的对象和入侵的端口也各不相同。

小白： 区别不少啊。

大东：冲击波病毒攻击所有存在有 RPC 漏洞的电脑和微软升级网站，而震荡波病毒攻击的是所有存在有 LSASS 漏洞的电脑，但目前还未发现有攻击其它网站的现象。

小白：我听了刚才东哥的讲解，知道了震荡波病毒会本地开辟后门，听 TCP 的5554端口，然后做为 FTP 服务器等待远程控制命令，并疯狂地试探连接445端口。对吧？

大东： 没错，而冲击波病毒会监听端口69，模拟出一个 TFTP 服务器，并启动一个攻击传播线程,不断地随机生成攻击地址，尝试用有 RPC 漏洞的135端口进行传播。

小白：那我们应该如何防范它呢？

四、小白内心说—— 对震荡波病毒的防范

小白： 我们应该如何防范震荡波病毒的入侵呢？

大东：保护你的计算机。如果可能的话，为你的计算机安装一个防火墙，这样可以限制病毒的破坏程度，保证病毒被清除之后不再返回。Windows XP 就带有一个防火墙，可以通过微软网站进行安装（microsoft.com/security/protect ），网站上还告诉旧版 Windows 用户如何安装这一防火墙。此外，还可以从第三方公司获得防火墙，由于震荡波会对计算机的互联网接入产生影响，所以在安装防火墙之后你应该运行扫描程序，检查病毒是否已经回到了你的计算机中。

防火墙（图片来源：百度图片

小白：还有什么措施吗？

大东：为了防止再度感染。安装其它一些安全补丁，保护你的计算机将来不受其它病毒的感染。注意不要过早地恢复你的 System Restore 功能，一定在确定没有感染病毒和计算机已经得到妥善保护之后再恢复。

小白：计算机病毒可以做其他程序所做的任何事，唯一的区别在于它将自己附加在另一个程序上，并且在宿主程序运行时秘密地执行。一旦病毒执行时，它可以完成任何功能，比如删除程序和文件等，其危害性极大。

大东：现在很多人还没有养成定期进行系统升级、维护的习惯，这也是很多人受病毒侵害感染率高的原因之一。只要培养了良好的预防病毒的意识，并充分发挥杀毒软件的防护能力，完全可以将大部分病毒拒之门外的。

五、那年那事——Facebook 的创立

大东：你知不知道2004年2月有一款著名的社交软件上市了？

小白：这个难不倒我，是 Facebook。

大东：可以啊。

大东： 2004年的2月4日，小有名气的哈佛大学生马克•扎克伯格发布了一款名为 the facebook 的小型社交网络。发展至今，Facebook 历经了重大的成长。今天，福布斯网站为我们总结了 Facebook 在过去十二年中所拥有的重大重新设计和新功能，具体如下：

大东：Facebook 原来的面貌就是下图所示这样的，在它拥有10亿用户之前，这个网站仅被提供给哈佛的学生访问。而随着时间的推进，Facebook 也变得越来越完善。

Apache Calcite Avatica 远程代码执行 CVE-2022-36364

前段时间看到Apache Calcite Avatica远程代码执行漏洞 CVE-2022-36364 在网上搜索也没有找到相关的分析和复现文章，于是想着自己研究一下，看能不能发现可以利用的方法。

首先利用一下最近比较热门的 Deepseek ，询问他是否清楚漏洞相关的信息。

通过回答我们可以了解到这个漏洞的概况，具体漏洞的版本，以及漏洞产生的原因。

Apache Calcite Avatica JDBC 驱动程序根据通过httpclient_impl连接属性提供的类名来创建 HTTP 客户端实例；但是在驱动程序实例化之前不会验证该类是否实现了预期的接口，这样一来就会导致可以通过调用任意类来执行代码。

执行这个漏洞并造成一定的危害性，还需要两个先决条件：

• 必须拥有控制 JDBC 连接参数的权限
• 类路径中有一个具有 URL 参数和执行代码能力的函数（目前需要自己构造）

简单点，通过 maven 来创建漏洞环境

创建完成漏洞环境后，我们就需要来编写一段代码想办法触发这个漏洞，我个人的建议是通过对比代码补丁，一般来说修复完成代码后，总会写一个测试类来进行测试

这样一来我们就编写了一个漏洞 DemocalssName和url的值是我们可以操作控制的，我们进行调试分析一下

org.apache.calcite.avatica.remote.AvaticaHttpClientFactoryImpl#getClient

这个地方我们就注意到了最后调用instantiateClient来处理的两个参数 className 和 url 一个来自于直接传参，另一个来自于config.httpClientClass()会从 config 对象中获取 HTTP 客户端的实现类名称，并将其作为一个String返回

所以当参数传入到org.apache.calcite.avatica.remote.AvaticaHttpClientFactoryImpl#instantiateClient 其中的两个参数className和url都是我们可以控制的

不需要向下继续调试，我们就看到了关键代码constructor.newInstance(Objects.requireNonNull(url));

这样一来我们就可以通过控制className和url来实现调用任意类，但是这个类的必须有 URL 参数的处理

刚开始想到的方法是

利用 spring 中的类构造函数加载远程配置实现 RCE

• org.springframework.context.support.ClassPathXmlApplicationContext

似乎如此一来就满足了条件，我们先试试

爆出了一个错误，我们注意到lassPathXmlApplicationContext 类没有接收java.net.URL参数的构造方法。ClassPathXmlApplicationContext 类的构造方法接收的是String类型的路径，通常是用于加载 Spring 配置文件的路径。

所以这种利用方式适用于很多种情况 Apache Commons JXPath 远程代码执行、PostgresQL JDBC Driver 任意代码执行 等，但是并不适配当前的环境。(目前还没有找到合适的类来触发利用这种漏洞)

为了进一步体现危害性，我自己创建一个类来体现

通过对比我们发现对传入的类进行了控制，限定必须属于AvaticaHttpClient的子类

用户评论

在哪跌倒こ就在哪躺下

刚开始听到这个名字就感觉很有科技感啊！不知道是不是某些高级程序员开发的？ 听起来像是一些神秘的东西...

    有6位网友表示赞同！

话扎心

我搜索了一下，lass.exe 好像是一个系统文件，主要用于Windows操作系统。不过具体的功能还没找到靠谱的解释，有点好奇是什么样的功能?

    有19位网友表示赞同！

南宫沐风

我看这个文件的路径是在"C:\Windows\System32\", 应该是比较重要的程序了，最好不要随便删除！

    有13位网友表示赞同！

顶个蘑菇闯天下i

我也是经常看到lass.exe占用CPU资源，但是我电脑运行速度正常，应该不会有什么问题吧？ 不过还是问问大家，是否遇到了类似情况？

    有6位网友表示赞同！

巷陌繁花丶

这个名字听起来像是一个游戏或软件的名称... 不止一次看到了关于lass.exe 的病毒信息，是不是要警惕一下?

    有19位网友表示赞同！

惯例

我记得以前我的电脑也出现过lass.exe 占用CPU的问题，后来查了一下是某些恶意软件伪装出来的 Trojan 文件，一定要小心啊！

    有8位网友表示赞同！

北朽暖栀

大家有没有遇到lass.exe 运行缓慢的情况？ 我的电脑最近总觉得没之前快了那么多...

    有12位网友表示赞同！

轨迹！

我是一个系统工程师，我可以解释下 lass.exe 的具体功能是什么... 它主要负责...... 等等 (此处省略专业术语和案例)

    有18位网友表示赞同！

荒野情趣

看到很多帖子说这个文件很危险，让我有点害怕！ 如果不小心开启了 berbahaya 文件的话怎么办?

    有15位网友表示赞同！

不浪漫罪名

我建议大家定期扫描电脑杀毒，这样可以防止lass.exe被病毒感染

    有10位网友表示赞同！

花海

我觉得lass.exe 这也太神秘了吧？ 官方文档有没有解释清楚呢？

    有10位网友表示赞同！

ゞ香草可樂ゞ草莓布丁

我的朋友告诉我，如果我们自己修改了系统文件可能会导致lass.exe出现问题...

    有13位网友表示赞同！

泡泡龙

这个名称听起来像是一个隐藏的功能吧！ 比如一些Windows系统的特殊功能...

    有16位网友表示赞同！

像从了良

关于lass.exe 的信息好像很多都是猜测的，官方解释在哪里啊？

    有11位网友表示赞同！

一笑傾城゛

我搜索了一下相关资料，发现其实没有官方公开的文件描述了 lass.exe 的具体用途，有点可惜！

    有8位网友表示赞同！

执念，爱

希望以后能看到更多详细的介绍和解读... 对那些了解它的人来说或许非常有用； 对于我们普通人来说，只需要知道它的主要功能就好了吧...

    有11位网友表示赞同！

ヅ她的身影若隐若现

这篇文章让我更想知道lass.exe 究竟是干嘛的，有没有人试过禁用它？结果怎么样?

    有17位网友表示赞同！

采姑娘的小蘑菇

大家分享一下你们对 lass.exe 的看法和经验吧！

    有17位网友表示赞同！