環境:
McAfee VirusScan Enterprise 8.8
McAfee VirusScan Enterprise 8.7i Patch 5(Re-post)
McAfee Agent 4.5 and later
重要
イベント 516 は VirusScan Enterprise(VSE)製品の新しいセキュリティ機能によって記録されます。
イベント 516 は管理者にマカフィーコードが危険にさらされていることを注意喚起するためのイベントです。
プロセスがマカフィプロセスのアドレス空間から任意のコード実行を許可した場合、殆どのアクセスプロテクションルールはマカフィープロセスを信頼するので、いくつかのアクセスプロテクションルールは迂回されるかもしれません。
現在では機能性を提供するために多くのサードパーティアプリケーションはこのような技術を使用していますが、これらのイベント ID が生成される場合、ルートキットのようなマルウェアに感染しているか、不正に侵入されたサードパーティアプリケーションが動作していることがあります。
下記のような場合、VSEはこのイベントを生成します:
- サードパーティベンダー(マカフィーあるいはマイクロソフトではない)や信頼されていないコードから、プロセスによって1つ以上のDLLがロードされた場合
- プロセスによってロードされたDLLファイルはマイクロソフト(信頼されている場合)ですが、信頼確認ルーチンの失敗を繰り返す場合
- VSEによって確認に必要なマカフィーの署名が含まれていないDLLファイルがMcAfee Agentからロードされた場合
問題:
Windows システムイベントログは下記のように複数のイベントID 516をレポートします。
Event Type: Warning
Event Source: mfehidk
Event Category: (256)
Event ID: 516
Date: <Date>
Time: <time>
User: N/A
Computer: <name>
Description:
Process **\VSTSKMGR.EXE pid (XXXX) contains signed but untrusted code, but was allowed to perform a privileged
operation with a McAfee driver
いくつかのシステムにおいてはイベントが数分おきに記録されますが、他の問題はクライアント上でレポートされません。
重要
VSE機能性やパフォーマンスにはインパクトを与えません。
原因:
VSEはプロセスによってロードされた、DLLファイルがサードパーティベンダー(マカフィーあるいはマイクロソフトではない)からで信頼されるコードを含んでいない場合にこのイベントを生成します。これは下記のシナリオで起こる場合があり、マカフィーではこの特殊な原因についての調査されることを勧めます。
シナリオ
- サードパーティアプリケーション(hook)
サードパーティアプリケーションが機能性を提供するためにマカフィープロセスへ任意のコードをhook や inject した場合に生じます。
現在のマルウェアはそのような技術を使用するため、マカフィーはこれらのサードパーティプログラムを信頼せず、マカフィープロセスが危険にさらされる可能性があることを管理者に通知するためにイベントを生成します。
- McAfee Agent
McAfee AgentがあるDLLファイルをロードする場合に生成します。
これらのライブラリには(cryptocme2.dllまたはccme_base.dll)はVSEでの信頼確認ルーチンに必要なマカフィーの署名が含まれていません。
このシナリオはマカフィー・エージェントのより新しいリリースバージョンで解決されます。
- Microsoft証明書ストアの更新が必要
問題はマイクロソフトDLLファイルによって引き起こされる場合があります。
ファイルが対応されている、もしくは有効な証明書がない場合、信頼確認ルーチンは失敗を繰り返します。
※MSI Installer 4.5.6001.22159 の MSI.dllで確認されています。
解決策:
これをアドレスするためには、下記 FAQ を確認してください。
掲載日 2012/05/07
更新日 2012/05/09
