Loading...
null

ID evento: 516, Avviso, Il processo **\VSTSKMGR.EXE pid (XXXX) contiene codice con firma ma non affidabile (risoluzione dei problemi)
Articoli tecnici ID:   KB71083
Ultima modifica:  03/11/2016
Con punteggio:


Ambiente

McAfee VirusScan Enterprise 8.8
McAfee VirusScan Enterprise 8.7i con Patch 5 (repost)
McAfee Agent 4.5 e versioni successive

 

Riepilogo

IMPORTANTE: L'evento 516 non indica un problema con il prodotto VirusScan Enterprise (VSE), è relativo a una nuova funzionalità di sicurezza di VSE.

Gli eventi 516 si verificano per motivi autentici e servono per informare l'amministratore sulla possibilità che il codice di McAfee sia compromesso. Quando a un processo viene permesso di eseguire codice estraneo dallo spazio degli indirizzi di un processo McAfee, alcune regole di protezione dell'accesso potrebbero essere aggirate poiché la maggior parte di queste regole considera affidabili i processi McAfee. Molte applicazioni di terzi utilizzano questa tecnica per offrire preziose funzionalità a un'azienda. Tuttavia, questi ID di evento possono indicare anche che il sistema è infetto da malware di tipo rootkit o che è in esecuzione un'applicazione intrusiva di terzi.

VSE genera questo evento quando si verifica una delle condizioni seguenti:

  • Uno o più file DLL caricati dal processo citato sono di un fornitore terzo (non McAfee né Microsoft) e contengono codice non affidabile.
  • I file DLL caricati dal processo citato sono di Microsoft (che è ritenuto affidabile), ma la routine di convalida dell'affidabilità restituisce un errore.
  • McAfee Agent carica determinati file DLL che non contengono la firma McAfee necessaria per l'ispezione da parte di VSE 8.8.

Problema

Il registro eventi del sistema Windows riporta più voci per l'evento con ID 516. Voci simili alla seguente sono registrate nel registro eventi del sistema Windows:

Tipo evento: Avviso
Origine evento: mfehidk
Categoria evento: (256)
ID evento: 516
Data:  <Data>
Ora:  <ora>
Utente:  N/D
Computer: <nome>
Descrizione:
Il processo **\VSTSKMGR.EXE pid (XXXX) contiene codice con firma ma non affidabile, ma al quale è stata consentita l'esecuzione di un'operazione con privilegi con un driver McAfee
 

In alcuni sistemi l'evento viene registrato a intervalli di alcuni minuti.

Nel client non sono segnalati altri sintomi.

IMPORTANTE: non vi è alcun impatto su funzionalità e prestazioni di VSE.

Causa

Questo evento viene generato in VSE quando uno o più file DLL caricati dal processo citato sono di un fornitore terzo (non McAfee né Microsoft) e contengono codice non affidabile. Questo può avvenire negli scenari seguenti. Si consiglia vivamente di indagare su ogni segnalazione di questo problema per determinare la causa specifica.

Scenari correnti:
  • Applicazione terza (hook)
    Avviene quando applicazioni terze stabiliscono associazioni (hook) o iniettano il loro codice in processi McAfee per fornire funzionalità. Anche i malware utilizzano questa tecnica. Questi programmi terzi (né il malware, incidentalmente) non sono considerati affidabili da McAfee, pertanto viene generato l'evento per informare l'amministratore che il processo McAfee può essere compromesso.

     
  • McAfee Agent
    Avviene quando McAfee Agent carica determinati file DLL. Queste librerie (cryptocme2.dll o ccme_base.dll) non contengono la firma McAfee necessaria per l'ispezione da parte di VSE 8.8. Lo scenario è risolto nelle versioni più recenti di McAfee Agent.

     
  • Gli archivi di certificati Microsoft devono essere aggiornati
    Il problema può essere provocato da file DLL di Microsoft, che sono ritenuti affidabili, ma la routine di convalida dell'affidabilità restituisce un errore. Ciò si verifica quando per il file non è presente un certificato corrispondente o valido (l'evento è stato riscontrato con MSI.dll di MSI Installer 4.5.6001.22159).

Soluzione

Per risolvere il problema in ordine logico, procedere con i seguenti articoli nell'ordine indicato dagli esperti del prodotto.

Articolo
Problema
DLL McAfee Agent (HotFix)
Applicazione terza (hook)
Archivi di certificati Microsoft da aggiornare

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Classifica questo documento

Beta Translate with

Select a desired language below to translate this page.