Desde hace unos pocos días varios clientes han comenzado a ver entradas del registro de protección de acceso en el servidor ePO relacionadas con el archivo mcdatrep.exe. A continuación detallamos las dos casuísticas y la explicación ofrecida por McAfee al respecto.
CASO 1:
Se registra el evento 1092 en el visor de sucesos de Windows:
Descripción del Evento: Access Protection rule violation detected and blocked Computer name:{Name} IP address:{IPaddress} User name: NT AUTHORITY\SYSTEM
Archivo: C:\Program Files\Common Files\McAfee\DATReputation\mcdatrep.exe
Nombre de la Amenaza: McAfee DAT Reputation:Prevent modification of McAfee DAT Reputation files and settings Threat category: ‘File’ class or access Threat type: access protection Action taken: deny terminate
Proceso de Origen: C:\Windows\system32\CCM\CcmExec.exe
CASO 2:
Se muestra un mensaje similar al indicado a continuación en el registro de Protección de Acceso de VSE:
Blocked by Access Protection rule NT AUTHORITY\SYSTEM C:\WINDOWS\CCM\CCMEXEC.EXE C:\PROGRAM FILES (X86)\COMMON FILES\MCAFEE\DATREPUTATION\MCDATREP.EXE
McAfee DAT Reputation:Prevent modification of McAfee DAT Reputation files and settings Action blocked : Terminate
CAMBIOS EN EL SISTEMA:
Estos mensajes empiezan a aparecer tras la actualización de DAT Reputation a la versión V1.0.3.
SOLUCIÓN:
McAfee indica que se puede ignorar este mensaje ya que no afecta a ninguna funcionalidad del producto.
Nota: Para obtener más información sobre las funcionalidades de DAT Reputation puede consultar el KB55986
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 10 de Julio de 2015