Jump to content

Troyano ( posible falso positivo)


Go to solution Solved by Vimaro,

Recommended Posts

BRAHIANG
Posted

Hola

Quiero consultar si la alerta de Kaspersky es verídica   o es un falso positivo, digo esto porque  utilice la aplicación KVRT (kaspersky virus removal tool) y  las características de análisis pero  todo aparece en ceros (sin problemas) además que  no encuentro mucha información con referencia de ese troyano : "PDM:Trojan.Win32.GenAutorunMsSqlServerCommandRun.a"  pero es casi diario que me aparecen alertas sobre el mismo virus.

esta es la información 

Evento: Bloqueado
Aplicación: SQL Server Windows NT - 64 Bit
Usuario: NT SERVICE\MSSQLSERVER
Tipo de usuario: Usuario activo
Componente: Vigía proactiva
Descripción del resultado: Bloqueado
Tipo: Troyano
Nombre: PDM:Trojan.Win32.GenAutorunMsSqlServerCommandRun.a
Nivel de amenaza: Alta
Tipo de objeto: Proceso
Ruta del objeto: C:\Program Files\Microsoft SQL Server\MSSQL15.MSSQLSERVER\MSSQL\Binn
Nombre del objeto: sqlservr.exe
Fecha de publicación de las bases de datos: Hoy, 22/08/2024 6:58:00 a. m.
MD5: 12785CD7C56473ADB736418D513F7DCB

image.thumb.png.9f4af85aecfaa7e2eb0f421ab2f71853.png

image.thumb.png.6b71c5a5a445ece90ec879ed9f424934.png

  • Solution
Posted (edited)

Gracias por su mensaje,

El hash compartido en su post, no se reporta como malicioso.

image.thumb.png.ea5cd803fb6986e8bff12117dbcf82b3.png

Sin embargo, hay un objeto y un enlace a los que accede el proceso y se trata de un Minero. 

image.thumb.png.461e4ab888c257d463d479796e3bd1de.png

Lo que puede estar pasando, es que el proceso afectado (sqlservr.exe), haya sido vulnerado para detonar el Minero. Se recomienda:

1. Comprobar actualizaciones de sistema y de SQL en el servidor afectado;

2. Realizar hardening del servidor afectado;

3. Usar protección EDR Kaspersky (KVRT es una herramienta de remoción de malware), no es un elemento de protección en tiempo real.

Edited by Vimaro
Agregar hallazgos
  • Like 2
BRAHIANG
Posted

Hola buen Dia 

Indagando a fondo en lo que me menciona inicie varias herramientas de escaneo en el equipo, esto porque hace un tiempo el equipo fue atacado por un Ransomware (.MALLOX) y tal vez según mi criterio no se realizo la correcta desinfección  y luego se instalo el antivirus (kaspersky small office security ) y por eso no detectaba los archivos infectados ya que realice varios tipos de análisis ( completo, rápido, especifico) sin tener información relevante  tampoco el KVRT detecto la amenaza, utilice una herramienta de escaneo de un tercero (ESET) la cual me detecto mas de 500 archivos infectados con este ransomware  incluida la ruta  de irregularidad suministrada por kaspersky Ruta del objeto: C:\Program Files\Microsoft SQL Server\MSSQL15.MSSQLSERVER\MSSQL\Binn. Me gustaria saber si debo configurar el antivirus de cierta manera para que logre depurar la novedad ya que la herramienta del tercero era gratuita y no me permite desinfectar o si es una eventualidad en el codigo del antivirus quedo atento. Saludos y muchas Gracias 

Tiposdeanalisis.thumb.png.465b9f4611058b595906618c4424c1af.pngScanerdeterceros.thumb.png.ed51d27cbd30d594bfcdc63c894c0fbc.pngPOPUP.png.ae3c3ebf91dafc96b34a1043cce466e8.png

Posted

Gracias por su mensaje.

Es muy raro que nuestra tecnología no haya detectado la amenaza. Le invitamos a que solicite soporte técnico a través del Portal de Autoservicio, como se aprecia en la siguiente imagen: image.thumb.png.1389733dbd846d485ce00c2a3fd686a6.png

Por favor entregue todos los detalles de la versión instalada, configuración y demás información que permita a nuestros especialistas el realizar el debido diagnóstico del caso.

  • Like 2

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...