Loading...

ナレッジセンター


Event ID: 514, Warning, Process **\VSTSKMGR.EXE pid (XXXX) contained unsigned or corrupted code (トラブルシューティング)
技術的な記事 ID:  KB80937
最終更新:  2014/02/13

概要

環境:

McAfee VirusScan Enterprise 8.8
McAfee VirusScan Enterprise 8.7i Patch 5(Re-post)
McAfee Agent 4.5 and later

重要
イベント 514 は VirusScan Enterprise(VSE)製品の新しいセキュリティ機能によって記録されます。

イベント 514 は管理者にマカフィーコードが危険にさらされていることを注意喚起するためのイベントです。
プロセスがマカフィプロセスのアドレス空間から任意のコード実行を許可した場合、殆どのアクセスプロテクションルールはマカフィープロセスを信頼するので、いくつかのアクセスプロテクションルールは迂回されるかもしれません。

現在では機能性を提供するために多くのサードパーティアプリケーションはこのような技術を使用していますが、これらのイベント ID が生成される場合、ルートキットのようなマルウェアに感染しているか、不正に侵入されたサードパーティアプリケーションが動作していることがあります。

下記のような場合、VSEはこのイベントを生成します

  • サードパーティベンダー(マカフィーあるいはマイクロソフトではない)や信頼されていないコードから、プロセスによって1つ以上のDLLがロードされた場合
  • プロセスによってロードされたDLLファイルはマイクロソフト(信頼されている場合)ですが、信頼確認ルーチンの失敗を繰り返す場合
  • VSEによって確認に必要なマカフィーの署名が含まれていないDLLファイルがMcAfee Agentからロードされた場合
問題:

Windows システムイベントログは下記のように複数のイベントID 514をレポートします。

Event Type: Warning
Event Source: mfehidk
Event Category: (256)
Event ID: 514
Description:
Process C:\Program Files\McAfee\VirusScan Enterprise\ pid (3596) contained unsigned or corrupted code and was blocked
from performing a privileged operation with a McAfee driver.

注意
VSE機能性やパフォーマンスにはインパクトを与えません。

原因:

VSEはプロセスによってロードされた、DLLファイルがサードパーティベンダー(マカフィーあるいはマイクロソフトではない)からで信頼されるコードを含んでいない場合にこのイベントを生成します。これは下記のシナリオで起こる場合があり、マカフィーではこの特殊な原因についての調査されることを勧めます。

シナリオ

  • サードパーティアプリケーション(hook)
    サードパーティアプリケーションが機能性を提供するためにマカフィープロセスへ任意のコードをhook や inject した場合に生じます。
    現在のマルウェアはそのような技術を使用するため、マカフィーはこれらのサードパーティプログラムを信頼せず、マカフィープロセスが危険にさらされる
    可能性があることを管理者に通知するためにイベントを生成します。
  • McAfee Agent
    McAfee AgentがあるDLLファイルをロードする場合に生成します。
    これらのライブラリには(cryptocme2.dllまたはccme_base.dll)はVSEでの信頼確認ルーチンに必要なマカフィーの署名が含まれていません。
    このシナリオはマカフィー・エージェントのより新しいリリースバージョンで解決されます。
  • Microsoft証明書ストアの更新が必要
    問題はマイクロソフトDLLファイルによって引き起こされる場合があります。
    ファイルが対応されている、もしくは有効な証明書がない場合、信頼確認ルーチンは失敗を繰り返します。

    ※MSI Installer 4.5.6001.22159 の MSI.dllで確認されています。
解決策:

これをアドレスするためには、下記 FAQ を確認してください。

記 事 シナリオ
KB74295 McAfee Agent (Hotfix)
KB74296 サードパーティアプリケーション(hook)
KB74294 Microsoft証明書ストアの更新

以前のドキュメント ID

VE12050702

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.