UA-20469404-1
Jul 102015
 

Desde hace unos pocos días varios clientes han comenzado a ver entradas del registro de protección de acceso en el servidor ePO relacionadas con el archivo mcdatrep.exe. A continuación detallamos las dos casuísticas y la explicación ofrecida por McAfee al respecto.

CASO 1:
Se registra el evento 1092 en el visor de sucesos de Windows:

Descripción del Evento: Access Protection rule violation detected and blocked Computer name:{Name} IP address:{IPaddress} User name: NT AUTHORITY\SYSTEM

Archivo: C:\Program Files\Common Files\McAfee\DATReputation\mcdatrep.exe

Nombre de la Amenaza: McAfee DAT Reputation:Prevent modification of McAfee DAT Reputation files and settings Threat category: ‘File’ class or access Threat type: access protection Action taken: deny terminate

Proceso de Origen: C:\Windows\system32\CCM\CcmExec.exe

CASO 2:
Se muestra un mensaje similar al indicado a continuación en el registro de Protección de Acceso de VSE:

Blocked by Access Protection rule NT AUTHORITY\SYSTEM C:\WINDOWS\CCM\CCMEXEC.EXE C:\PROGRAM FILES (X86)\COMMON FILES\MCAFEE\DATREPUTATION\MCDATREP.EXE
McAfee DAT Reputation:Prevent modification of McAfee DAT Reputation files and settings Action blocked : Terminate

CAMBIOS EN EL SISTEMA:
Estos mensajes empiezan a aparecer tras la actualización de DAT Reputation a la versión V1.0.3.

SOLUCIÓN:
McAfee indica que se puede ignorar este mensaje ya que no afecta
a ninguna funcionalidad del producto.

Nota: Para obtener más información sobre las funcionalidades de DAT Reputation puede consultar el KB55986

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 10 de Julio de 2015