Troyano ( posible falso positivo)

[BRAHIANG]

Hola

Quiero consultar si la alerta de Kaspersky es verídica   o es un falso positivo, digo esto porque  utilice la aplicación KVRT (kaspersky virus removal tool) y  las características de análisis pero  todo aparece en ceros (sin problemas) además que  no encuentro mucha información con referencia de ese troyano : "PDM:Trojan.Win32.GenAutorunMsSqlServerCommandRun.a"  pero es casi diario que me aparecen alertas sobre el mismo virus.

esta es la información 

Evento: Bloqueado
Aplicación: SQL Server Windows NT - 64 Bit
Usuario: NT SERVICE\MSSQLSERVER
Tipo de usuario: Usuario activo
Componente: Vigía proactiva
Descripción del resultado: Bloqueado
Tipo: Troyano
Nombre: PDM:Trojan.Win32.GenAutorunMsSqlServerCommandRun.a
Nivel de amenaza: Alta
Tipo de objeto: Proceso
Ruta del objeto: C:\Program Files\Microsoft SQL Server\MSSQL15.MSSQLSERVER\MSSQL\Binn
Nombre del objeto: sqlservr.exe
Fecha de publicación de las bases de datos: Hoy, 22/08/2024 6:58:00 a. m.
MD5: 12785CD7C56473ADB736418D513F7DCB

[Vimaro]

Gracias por su mensaje,

El hash compartido en su post, no se reporta como malicioso.

Sin embargo, hay un objeto y un enlace a los que accede el proceso y se trata de un Minero. 

Lo que puede estar pasando, es que el proceso afectado (sqlservr.exe), haya sido vulnerado para detonar el Minero. Se recomienda:

1. Comprobar actualizaciones de sistema y de SQL en el servidor afectado;

2. Realizar hardening del servidor afectado;

3. Usar protección EDR Kaspersky (KVRT es una herramienta de remoción de malware), no es un elemento de protección en tiempo real.

Edited August 22 by Vimaro
Agregar hallazgos

[BRAHIANG]

Hola buen Dia 

Indagando a fondo en lo que me menciona inicie varias herramientas de escaneo en el equipo, esto porque hace un tiempo el equipo fue atacado por un Ransomware (.MALLOX) y tal vez según mi criterio no se realizo la correcta desinfección  y luego se instalo el antivirus (kaspersky small office security ) y por eso no detectaba los archivos infectados ya que realice varios tipos de análisis ( completo, rápido, especifico) sin tener información relevante  tampoco el KVRT detecto la amenaza, utilice una herramienta de escaneo de un tercero (ESET) la cual me detecto mas de 500 archivos infectados con este ransomware  incluida la ruta  de irregularidad suministrada por kaspersky Ruta del objeto: C:\Program Files\Microsoft SQL Server\MSSQL15.MSSQLSERVER\MSSQL\Binn. Me gustaria saber si debo configurar el antivirus de cierta manera para que logre depurar la novedad ya que la herramienta del tercero era gratuita y no me permite desinfectar o si es una eventualidad en el codigo del antivirus quedo atento. Saludos y muchas Gracias 

[Vimaro]

Gracias por su mensaje.

Es muy raro que nuestra tecnología no haya detectado la amenaza. Le invitamos a que solicite soporte técnico a través del Portal de Autoservicio, como se aprecia en la siguiente imagen: 

Por favor entregue todos los detalles de la versión instalada, configuración y demás información que permita a nuestros especialistas el realizar el debido diagnóstico del caso.