Loading...

이벤트 ID: 516, 경고, 프로세스 **\VSTSKMGR.EXE pid(XXXX)에는 서명되었지만 신뢰할 수 없는 코드가 있습니다(문제 해결).
기술 문서 ID:   KB71083
마지막으로 수정한 날짜:  2016-11-03
등급:


환경

McAfee VirusScan Enterprise 8.8
McAfee VirusScan Enterprise 8.7i, 패치 5 포함(재게시)
McAfee Agent 4.5 이상

 

요약

중요: 이벤트 516은 VirusScan Enterprise(VSE) 제품에 문제를 나타내지 않지만 새로운 VSE 보안 기능과 관련이 있습니다.

이벤트 516은 관리자가 McAfee 코드가 손상되었을 수 있음을 인식하도록 할 이유로 발생합니다. McAfee 프로세스의 주소 공간에서 외부 코드를 실행하는 프로세스가 허용된 경우 대부분의 액세스 보호 규칙은 McAfee 프로세스를 신뢰하므로 일부 액세스 보호 규칙이 무시될 수 있습니다. 수많은 타사 응용프로그램은 이 기술을 사용하여 조직에 유용한 기능을 제공합니다. 그러나 이러한 이벤트 ID는 시스템이 루트킷과 유사한 악성 프로그램에 감염되었거나 주입식 타사 응용프로그램을 실행 중임을 나타낼 수도 있습니다.

VSE는 다음 문제 중 하나가 발생할 때 이 이벤트를 생성합니다.

  • 언급된 프로세서에 의해 로드된 하나 이상의 DLL 파일은 (McAfee 또는 Microsoft가 아닌) 타사 공급업체에서 제공한 것이며 신뢰할 수 없는 코드를 포함합니다.
  • 언급된 프로세서에 의해 로드된 DLL 파일은 Microsoft에서 제공한 것이지만(신뢰할 수 있을 것으로 예상됨) 신뢰 유효성 검사 루틴이 실패를 반환합니다.
  • McAfee Agent가 VSE 8.8에서 검사하는 데 필요한 McAfee 시그니처가 포함되지 않은 특정 DLL 파일을 로드합니다.

문제

Windows 시스템 이벤트 로그는 이벤트 ID 516에 대한 여러 항목을 보고합니다. 다음과 유사한 항목이 Windows 시스템 이벤트 로그에 기록됩니다.

이벤트 유형: 경고
이벤트 소스: mfehidk
이벤트 범주: (256)
이벤트 ID: 516
날짜:  <Date>
시간:  <time>
사용자:  N/A
컴퓨터: <name>
설명:
프로세스 **\VSTSKMGR.EXE pid(XXXX)에 서명되었으나 신뢰할 수 없는 코드가 있지만 McAfee 드라이버를 통해 권한이 있는 작업을 수행할 수 있었습니다.
 

일부 시스템에서 이벤트는 몇 분마다 기록됩니다.

클라이언트에서 다른 증상은 보고되지 않습니다.

중요: VSE 기능 및 성능에는 영향을 미치지 않습니다.

원인

언급된 프로세서에서 로드된 하나 이상의 DLL 파일이 (McAfee 또는 Microsoft가 아닌) 타사 공급업체에서 제공한 것이며 신뢰할 수 없는 코드를 포함할 경우 VSE가 이 이벤트를 생성합니다. 이는 아래 시나리오에서 발생할 수 있습니다. McAfee는 구체적인 원인을 파악하기 위해 이 문제의 보고를 조사하도록 강력히 권장합니다.

최신 시나리오:
  • 타사 응용프로그램(후크)
    기능을 제공하기 위해 타사 응용프로그램이 McAfee 프로세스로 코드를 후크하거나 주입할 때 발생합니다. 악성 프로그램도 이러한 기술을 사용합니다. McAfee는 이 타사 프로그램(또는 물론 악성 프로그램도)을 신뢰하지 않으며 관리자에게 McAfee 프로세스가 손상되었을 수 있다고 알리는 이벤트를 생성합니다.

     
  • McAfee Agent
    McAfee Agent가 특정 DLL 파일을 로드할 때 발생합니다. 이 라이브러리(cryptocme2.dll 또는 ccme_base.dll)에는 VSE 8.8에서 검사하는 데 필요한 McAfee 시그니처가 없습니다. 이 시나리오는 McAfee Agent의 최신 릴리스에서 해결되었습니다.

     
  • Microsoft Certificate Stores의 업데이트 필요
    이 문제는 Microsoft DLL 파일로 인해 발생할 수 있으며, 이 파일은 신뢰할 수 있지만 신뢰 검증 루팅이 실패를 반환할 것으로 예상됩니다. 이 문제는 파일에 대해 해당하거나 유효한 인증서가 없을 경우 발생합니다(이는 MSI Installer 4.5.6001.22159MSI.dll에서 확인되었음).

해결책

이 문제를 논리적 순서로 해결하기 위해 제품 전문가가 제공한 순서로 다음 문서를 통해 작업하십시오.

문서
문제
McAfee Agent DLL(핫픽스)
타사 응용프로그램(후크)
Microsoft Certificate Stores의 업데이트 필요

고지 사항

이 문서의 원본은 영어로 작성되었습니다. 영어 내용과 번역 간에 차이가 있으면 영어 내용이 항상 가장 정확합니다. 이 내용 중 일부는 Microsoft 에서 번역한 기계 번역을 사용하여 제공됩니다.

이 문서 등급 평가

영향을 받는 제품

Beta Translate with

Select a desired language below to translate this page.