MEM:Trojan.Win32.SEPEH.gen ¿Amenaza real?

[Gabi0097]

Hola, hace unas horas Kaspersky Plus detectó una amenaza un poco extraña en mi equipo. Aquí lo raro es que el software que supuestamente detecta como infectado es un software completamente legitimo con su respectiva licencia. El software detectado es AirExplorer (Última Versión).

¿Alguien tiene una idea de si es una amenaza real o puede ser un falso positivo?
Cabe destacar que llevo años utilizando este software y nunca había sucedido eso. 

 

Quote

Usuario: GABRIEL\Gabriel
Tipo de usuario: Usuario activo
Componente: Análisis antivirus
Resultado: Desinfectado
Descripción del resultado: Desinfectado
Tipo: Troyano
Nombre: MEM:Trojan.Win32.SEPEH.gen
Precisión: Exacta
Nivel de amenaza: Alta
Tipo de objeto: Archivo
Nombre del objeto: AirExplorer.exe
Ruta del objeto: pmem:\C:\Program Files\AirExplorer

 

[harlan4096]

Bienveni@ a la Comunidad de Kaspersky.

 

Por favor, indica versiones exactas de sistema operativo y de producto Kaspersky instalados.

 

Saludos.

[Gabi0097]

17 minutes ago, harlan4096 said:

Bienveni@ a la Comunidad de Kaspersky.

 

Por favor, indica versiones exactas de sistema operativo y de producto Kaspersky instalados.

 

Saludos.

[Gabi0097]

Quote

Evento: Se detectó un objeto malicioso
Usuario: GABRIEL\Gabriel
Tipo de usuario: Usuario activo
Nombre de la aplicación: AirExplorer.exe
Ruta de la aplicación: C:\Program Files\AirExplorer
Componente: Protección vía AMSI
Descripción del resultado: Detectado
Tipo: Troyano
Nombre: VHO:Trojan.Win32.Sdum.gen
Precisión: Análisis heurístico
Nivel de amenaza: Alta
Tipo de objeto: Archivo
Nombre del objeto: amsi_stream_6
Ruta del objeto: uid://
MD5 de un objeto: FC1B9BE61D8CC5BF291186E19B3512B4
Motivo: Protección en la nube

 

[harlan4096]

Imagino que tienes el Windows 10 completamente actualizado vía Windows Update, comprueba también las Opcionales.

 

Hum por lo que veo efectivamente ese objeto del AirExplorer aparece como malicioso:

 

https://opentip.kaspersky.com/FC1B9BE61D8CC5BF291186E19B3512B4/results?tab=lookup

 

Pero esa detección es diferente a la primera 🤔

 

Dime de dónde has instalado el AirExplorer instalado, a ver si puedo reproducir la detección, podría ser un falso positivo.

 

Saludos.

[harlan4096]

En concreto, comprueba si tienes instalada esta actualización:

 

https://learn.microsoft.com/es-es/security-updates/securitybulletins/2017/ms17-010

[Gabi0097]

27 minutes ago, harlan4096 said:

Imagino que tienes el Windows 10 completamente actualizado vía Windows Update, comprueba también las Opcionales.

 

Hum por lo que veo efectivamente ese objeto del AirExplorer aparece como malicioso:

 

https://opentip.kaspersky.com/FC1B9BE61D8CC5BF291186E19B3512B4/results?tab=lookup

 

Pero esa detección es diferente a la primera 🤔

 

Dime de dónde has instalado el AirExplorer instalado, a ver si puedo reproducir la detección, podría ser un falso positivo.

 

Saludos.

Sistema operativo completamente actualizado. AirExplorer lo descargué desde el sitio oficial hace algunos años y se actualiza desde el mismo programa, la licencia está vinculada a mi correo.

 

[harlan4096]

Ok, y la actualización acumulativa pendiente que tienes de instalar...

[Gabi0097]

16 minutes ago, harlan4096 said:

Ok, y la actualización acumulativa pendiente que tienes de instalar...

Cierto, Ahora sí, todo OK.

[harlan4096]

1 hour ago, harlan4096 said:

En concreto, comprueba si tienes instalada esta actualización:

 

https://learn.microsoft.com/es-es/security-updates/securitybulletins/2017/ms17-010

¿Qué me dices de esta actualziación?

[Gabi0097]

49 minutes ago, harlan4096 said:

¿Qué me dices de esta actualziación?

Sí la tengo instalada.

[harlan4096]

Por lo que veo, la última versión de AirExplorer, es de diciembre de 2023:

 

Quote

 

Air Explorer version 5.4.3

29 de diciembre de 2023
-Añadido soporte para Digiboxx.
-Las sincronizaciones son más rápidas.
-Arreglado el problema de mostrar la carpeta con etiquetas en Mega.
-Actualización de la traducción al italiano (gracias a tfrtint).
-Actualización de la traducción al ruso (gracias a Timofey).
-Actualización de la traducción al húngaro (Gracias a John Fowler).

 

 

Voy a instalarla en una máquina virtual con mi Kaspersky Premium 21.16 y ver si puedo reproducir la detección, es tipo de posibles falsos positivos, para reportarlos a Kaspersky, hay que activar las trazas del producto Kaspersky y reproducir el problema, y a continuación enviar los archivos generados al soporte de Kaspersky.

 

Saludos.

[Gabi0097]

5 hours ago, harlan4096 said:

Por lo que veo, la última versión de AirExplorer, es de diciembre de 2023:

 

 

Voy a instalarla en una máquina virtual con mi Kaspersky Premium 21.16 y ver si puedo reproducir la detección, es tipo de posibles falsos positivos, para reportarlos a Kaspersky, hay que activar las trazas del producto Kaspersky y reproducir el problema, y a continuación enviar los archivos generados al soporte de Kaspersky.

 

Saludos.

Hasta no estar seguros, creo que de momento desinstalaré el software. Me sorprende mucho porque todavía hasta el día de ayer lo usé con normalidad e incluso vinculé dos nubes nuevas. Espero y sí se trate de un falso positivo.

[Gabi0097]

2 hours ago, Gabi0097 said:

Hasta no estar seguros, creo que de momento desinstalaré el software. Me sorprende mucho porque todavía hasta el día de ayer lo usé con normalidad e incluso vinculé dos nubes nuevas. Espero y sí se trate de un falso positivo.

Desinstalé por completo AirExplorer con Revo, eliminando todo registro de la aplicación, y por curiosidad lo instalé nuevamente en su última versión desde el sitio oficial. Kaspersky me bloquea por completo la aplicación y lo detecta como amenaza. Como observación, tengo el complemento de Air Live Drive de la misma compañía y ese programa funciona con total normalidad.

 

Edited March 4 by Gabi0097

[Gabi0097]

Acabo de realizar un análisis completo de mi equipo con Kaspersky y con Malwarebytes y ambos no detectaron ningún tipo de amenaza. Únicamente sucede al ejecutar la aplicación de AirExplorer, la protección en tiempo real de Kaspersky es la única en detectarlo y bloquea la ejecución de la aplicación.

[harlan4096]

El instalador que voy a usar en la máquina virtual es este:

 

 

[harlan4096]

Ok, nada más ejecutar he obtenido el mismo resultado que tú:

 

 

[harlan4096]

He reiniciado el sistema, y al volver a ejecutar:

 

[harlan4096]

Ok, acabo de crear una consulta al soporte oficial, les he enviado el instalador de AriExplorer + trazas generadas durante la reproducción del problema: Su número de incidente es: INC000016268778

 

Saludos.

[Gabi0097]

¿Qué tan probable es que la detección sea un falso positivo y pueda poner entre las excepciones a AirExplorer para poder seguirlo usando en lo que se resuelve el problema?

Ya reinicié el equipo, actualicé la base de datos y Kaspersky me sigue bloqueando el programa. Pero tampoco quiero poner en riesgo mi ordenador hasta no estar seguro...

[harlan4096]

Les he remitido toda la info que me han pedido, pero yo diría que hay muchas posibilidades de que sea un falso positivo, de hecho Kaspersky solo lo considera sospechoso cuando es ejecutado, pero no en un análisis bajo demanda, incluso es Trusted en el KSN:

 

 

 

Saludos.

[Gabi0097]

50 minutes ago, harlan4096 said:

Les he remitido toda la info que me han pedido, pero yo diría que hay muchas posibilidades de que sea un falso positivo, de hecho Kaspersky solo lo considera sospechoso cuando es ejecutado, pero no en un análisis bajo demanda, incluso es Trusted en el KSN:

 

 

 

Saludos.

Muchas gracias. ¿Sería recomendable agregar la aplicación a las excepciones o me espero a una solución oficial?

[harlan4096]

De todas formas, yo me esperaría por prudencia...

[harlan4096]

Me acaban de contestar:

 

Quote

Estimado cliente,

Gracias por contactar al soporte de Kaspersky.

Ahora escalare su caso con el departamento de virus, apenas tenga respuesta se lo informare por este medio.

[harlan4096]

Quote

Estimado cliente,

Gracias por contactar al soporte de Kaspersky.

Reciba un cordial saludo, se ha verificado esta deteccion como falso positivo,

Lo siento, fue una detección falsa. Se arreglará, debera desaparecer la deteccion con las proximas actualizaciones de la base de datos.