Loading...

Event ID: 516, Warning, Process **\VSTSKMGR.EXE pid (XXXX) contains signed but untrusted code (solución de problemas)
Artículos técnicos ID:   KB71083
Última modificación:  03/11/2016
Calificado:


Entorno

McAfee VirusScan Enterprise 8.8
McAfee VirusScan Enterprise 8.7i con parche 5 (nueva publicación)
McAfee Agent 4.5 y posteriores

 

Resumen

IMPORTANTE: El evento 516 no indica ningún problema con el producto VirusScan Enterprise (VSE), puesto que corresponde a una nueva función de seguridad de VSE.

El evento 516 se genera por motivos justificados con el fin de que el administrador sea consciente de que el código de McAfee puede estar en peligro. Cuando a un proceso se le permite ejecutar código extraño desde dentro del espacio de la dirección de un proceso de McAfee, se podrían eludir algunas reglas de protección de acceso ya que muchas de dichas reglas confían en los procesos de McAfee. Muchas aplicaciones de terceros utilizan esta técnica para proporcionar valiosas funcionalidades a las organizaciones. Sin embargo, estos ID de evento también pueden indicar que el sistema está infectado con malware de tipo rootkit o que está ejecutando una aplicación intrusiva de terceros.

VSE genera este evento en uno de los siguientes casos:

  • Uno o más archivos DLL cargados por el proceso mencionado pertenecen a un proveedor de terceros (distinto de McAfee y de Microsoft), y contienen código que no es de confianza.
  • Los archivos DLL cargados por el proceso mencionado pertenecen a Microsoft (por lo que se espera que sean de confianza), pero el procedimiento de validación de la confianza devuelve un error.
  • McAfee Agent carga ciertos archivos DLL que no contienen la firma necesaria de McAfee requerida para la inspección de VSE 8.8.

Problema

El registro de eventos del sistema de Windows presenta varias entradas correspondientes al ID de evento 516. Las entradas similares a la siguiente se guardan en el registro de eventos del sistema de Windows:

Event Type: Warning
Event Source: mfehidk
Event Category: (256)
Event ID: 516
Date:  <fecha>
Time:  <hora>
User:  N/A
Computer: <nombre>
Description:
Process **\VSTSKMGR.EXE pid (XXXX) contains signed but untrusted code, but was allowed to perform a privileged operation with a McAfee driver
 

En algunos sistemas, el evento se registra cada pocos minutos.

No se detectan otros síntomas en el cliente.

IMPORTANTE: La funcionalidad y el rendimiento de VSE no se ven afectados.

Motivo

VSE genera este evento cuando uno o más archivos DLL cargados por el proceso mencionado pertenecen a un proveedor de terceros (distinto de McAfee y de Microsoft), y contienen código que no es de confianza. Esta situación puede producirse en los siguientes casos. McAfee le recomienda encarecidamente examinar los informes de este problema para determinar la causa específica.

Casos actuales:
  • Aplicación de terceros (interceptación)
    Se produce cuando las aplicaciones de terceros interceptan o insertan su código en los procesos de McAfee para ofrecer una mayor funcionalidad. El malware también utiliza esta técnica. McAfee no confía en estos programas de terceros (o malware, en realidad) y genera el evento para informar al administrador de que el proceso de McAfee puede estar en riesgo.

     
  • McAfee Agent
    Se produce cuando McAfee Agent carga algunos archivos DLL. Estas bibliotecas (cryptocme2.dll o ccme_base.dll) no contienen la firma de McAfee requerida para la inspección de VSE 8.8. Este problema se soluciona en las versiones más recientes de McAfee Agent.

     
  • Los almacenes de certificados de Microsoft deben actualizarse
    El origen del problema puede encontrarse en los archivos DLL de Microsoft, que se espera que sean de confianza, pero el procedimiento de validación de la confianza devuelve un error. El problema se produce cuando no existe un certificado válido o que se corresponda con el archivo (se ha comprobado con el archivo MSI.dll de MSI Installer 4.5.6001.22159).

Solución

Para abordar este problema en un orden lógico, consulte los siguientes artículos redactados por los expertos del producto en el orden expuesto.

Artículo
Problema
DLL de McAfee Agent (hotfix)
Aplicación de terceros (interceptación)
Los almacenes de certificados de Microsoft deben actualizarse

Descargo de responsabilidad

El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.

Calificar este documento

Beta Translate with

Select a desired language below to translate this page.

Idiomas: