Actualización de cliente de Forefront Client Security antimalware: abril de 2010


INTRODUCCIÓN


Este artículo describe los problemas de cliente de antimalware de Microsoft Forefront Client Security (FCS) que se corrigen en este paquete de revisiones.

Problemas que corrige este paquete de hotfix

Problema 1

Protección en tiempo real de Forefront Client Security detecta, suspende y toma medidas contra las amenazas de malware. Cuando se suspende una amenaza, se notifica al usuario. El usuario puede que tenga una opción para decidir la acción que se realiza, dependiendo de la configuración del cliente. Si no se realiza ninguna acción después de 10 minutos, se ejecuta una acción predeterminada que se define por la política o las definiciones. Durante este tiempo, las amenazas de malware se suspenden y no se puede leer o ejecutadas por otras aplicaciones.

Este período de retraso de protección en tiempo real se implementa mediante un proceso de interfaz de usuario. Si un usuario no iniciar sesión en el equipo, este proceso no se ejecuta. Por lo tanto, FCS no actuar ante el malware suspendido.
Solución alternativa
Cuando la protección en tiempo real detecta software malintencionado, el malware se ha suspendido y no puede se leer o ejecutado por otras aplicaciones. Este comportamiento produce tanto cuando un usuario inicia sesión en el equipo y cuando un usuario no inicia sesión en el equipo. Por lo tanto, el equipo está bajo protección. Sin embargo, el malware aún reside en el disco.

Si un usuario inicia sesión en el equipo una vez detectado el malware, se les notifica en la interfaz de usuario y empieza el período de retraso de protección en tiempo real.

Cuando implementa una directiva a los equipos cliente, FCS actúa automáticamente en el software malintencionado detectado durante los análisis programados. Si realiza un análisis programado completo del equipo, se realiza la acción contra cualquier malware que se detectaron y suspendido después de que termine el análisis. Un análisis completo incluye todas las unidades de disco duro en el equipo y actúa independientemente de si un usuario ha iniciado sesión en el equipo durante el análisis.
Solución
Esta actualización agrega un temporizador adicional al servicio de protección contra malware. Este temporizador adicional implementa el período de retraso de protección en tiempo real. Por lo tanto, se ejecuta la acción predeterminada que se define por la política o las definiciones cuando ningún usuario ha iniciado sesión en el equipo.

Problema 2

Un cambio en las bibliotecas de la Driver Install Frameworks (DIFx) para las aplicaciones se describe bajo el encabezado "Problema 1" en la sección "Solución" del siguiente artículo de Knowledge Base (KB) artículo:
Actualización de cliente de antimalware de forefront Client Security 976668 : diciembre de 2009

Muchos de los métodos de instalación automatizados instalación actualizaciones mediante la cuenta LocalSystem. Por ejemplo, actualizaciones automáticas y System Center Configuration Manager debe utilizar la cuenta LocalSystem para actualizaciones. Cuando se instala el hotfix 976668 mediante la cuenta LocalSystem en un equipo basado en Windows 2000, la actualización falla y se registra el error siguiente en el archivo Mp_ambits.log:
DIFXAPP: INFO: creating HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\DIFxApp\Components\{153AA63E-3BFD-495C-A35F-85F66650141D} (User's SID: 'S-1-5-18') ...
DIFXAPP: ERROR 0x57 encountered while creating subkey for component '{153AA63E-3BFD-495C-A35F-85F66650141D}'
DIFXAPP: RETURN: ProcessDriverPackages() 87 (0x57)
Solución alternativa
Para instalar la actualización que se describe en 976668 de KB en un equipo basado en Windows 2000, inicie sesión en el equipo como un usuario interactivo y, a continuación, ejecute la actualización. Para obtener la actualización, utilice el sitio Web de Microsoft Update mediante un explorador Web, o descargue y ejecute la actualización desde el catálogo de Microsoft Update que se describe en 976668 de KB.
Solución
Esta actualización ya no utiliza DIFx para las aplicaciones durante la instalación. La actualización utiliza una tecnología de instalación personalizada que puede utilizarse en todos los sistemas operativos de FCS admitidos actualmente.

Problema 3

El servicio de antimalware de FCS se cierra inesperadamente en un equipo que está ejecutando Windows Vista, Windows Server 2008, Windows 7 o Windows Server 2008 R2.
Solución
Esta actualización corrige un problema en el servicio de antimalware de FCS en el en un equipo que está ejecutando Windows Vista, Windows Server 2008, Windows 7 o Windows Server 2008 R2.

Más información


Información de la revisión

Existe un hotfix disponible desde Microsoft.

Nota: Esta revisión está disponible desde Microsoft Update y de Windows Server Update Services. Además, se puede obtener la revisión, siga estos pasos:
  1. Visite el siguiente sitio Web de catálogo de Microsoft Update:
  2. Escriba 979536 en el cuadro Buscar y, a continuación, haga clic en Buscar.
  3. Haga clic en Agregar para agregar la revisión a la cesta.
  4. Cerca de la barra de búsqueda en la parte superior, haga clic en el vínculo Ver cesta .
  5. Haga clic en Descargar.
  6. Haga clic en Examinar, especifique la carpeta a la que desea descargar la revisión y, a continuación, haga clic en Aceptar.
  7. Haga clic en continuary, a continuación, haga clic en para aceptar los términos de licencia del Software de Microsoft.
  8. Cuando la actualización se descarga en la ubicación que especificó, haga clic en Cerrar.

Requisitos previos

No hay ningún requisito previo para instalar este hotfix.

Requisito de reinicio

Tendrá que reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Este hotfix reemplaza al cliente antimalware que se implementa mediante el paquete de implementación de Forefront Client Security (1.0.1725.0) en un equipo.
Paquete de implementación de forefront Client Security 976669 (1.0.1725.0): diciembre de 2009

Este hotfix reemplaza el hotfix siguientes:
Actualización de cliente de antimalware de forefront Client Security 976668 : diciembre de 2009

971026 hay un hotfix resolver algunos problemas relacionados con el cliente de antimalware Forefront Client Security

952265 que pueden producir daños en los datos en un equipo que tenga instalado Forefront Client Security

938054 hay un hotfix resolver algunos problemas relacionados con el cliente de Forefront Client Security

956280 minifiltro de modo de núcleo de Forefront Client Security la descarga cuando explora un recurso compartido de archivos de red que contiene muchos archivos malintencionados

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria en el elemento de Fecha y hora del Panel de control.
Forefront Client Security, versiones de 32 bits
Nombre del archivoVersión del archivoTamaño de archivoFechaHora
Amhelp.chmNo aplicable65,21628-Oct-200817:55
Mpasbase.vdm1.0.0.0572,72028-Oct-200817:58
Mpasdesc.dll1.5.1981.049,02419-Jan-201022:10
Mpasdlta.vdm1.0.0.09.00828-Oct-200817:58
Mpavbase.vdm1.0.0.0204,62428-Oct-200817:58
Mpavdlta.vdm1.0.0.09,04028-Oct-200817:58
Mpavrtm.dll1.5.1981.0128,38419-Jan-201021:51
Mpclient.dll1.5.1981.0366,97619-Jan-201021:51
Mpcmdrun.exe1.5.1981.0349,04819-Jan-201021:49
Mpengine.dll1.1.3520.03,308,62428-Oct-200817:57
Mpevmsg.dll1.5.1981.023,42419-Jan-201022:10
Mpfilter.sys1.5.1969.069,61615-May-0917:35
Mpoav.dll1.5.1981.092,03219-Jan-201021:51
Mprtmon.dll1.5.1981.0731,00819-Jan-201021:51
Mpsigdwn.dll1.5.1981.0129,92019-Jan-201021:51
Mpsoftex.dll1.5.1981.0518,01619-Jan-201021:51
Mpsvc.dll1.5.1981.0316,28819-Jan-201021:51
Mputil.dll1.5.1981.0177,02419-Jan-201021:51
Msascui.exe1.5.1981.01,033,60019-Jan-201021:51
Msmpcom.dll1.5.1981.0221,05619-Jan-201021:51
Msmpeng.exe1.5.1981.016,88019-Jan-201021:49
Msmplics.dll1.5.1981.09,08819-Jan-201021:51
Msmpres.dll1.5.1981.0766,33619-Jan-201022:10
Forefront Client Security, versiones de 64 bits
Nombre del archivoVersión del archivoTamaño de archivoFechaHora
Amhelp.chmNo aplicable65,21628-Oct-200817:55
Mpasbase.vdm1.0.0.0572,72028-Oct-200817:58
Mpasdesc.dll1.5.1981.049,53619-Jan-201023:59
Mpasdesc.dll (WOW64)1.5.1981.049,02419-Jan-201022:10
Mpasdlta.vdm1.0.0.09.00828-Oct-200817:58
Mpavbase.vdm1.0.0.0204,62428-Oct-200817:58
Mpavdlta.vdm1.0.0.09,04028-Oct-200817:58
Mpavrtm.dll1.5.1981.0155,00819-Jan-201023:41
Mpclient.dll1.5.1981.0546,68819-Jan-201023:41
Mpclient.dll (WOW64)1.5.1981.0366,97619-Jan-201021:51
Mpcmdrun.exe1.5.1981.0504,09619-Jan-201023:38
Mpengine.dll1.1.3520.04,431,95228-Oct-200817:57
Mpevmsg.dll1.5.1981.023,42419-Jan-201023:59
Mpfilter.sys1.5.1969.088,94415-May-200917:35
Mpoav.dll1.5.1981.0117,63219-Jan-201023:41
Mpoav.dll (WOW64)1.5.1981.092,03219-Jan-201021:51
Mprtmon.dll1.5.1981.01,181,05619-Jan-201023:41
Mpsigdwn.dll1.5.1981.0179,58419-Jan-201023:41
Mpsoftex.dll1.5.1981.0791,42419-Jan-201023:41
Mpsvc.dll1.5.1981.0434,56019-Jan-201023:41
Mputil.dll1.5.1981.0247,16819-Jan-201023:41
Mputil.dll (WOW64)1.5.1981.0177,02419-Jan-201021:51
Msascui.exe1.5.1981.01,636,73619-Jan-201023:41
Msmpcom.dll1.5.1981.0305,53619-Jan-201023:41
Msmpeng.exe1.5.1981.016,36819-Jan-201023:38
Msmplics.dll1.5.1981.09,08819-Jan-201023:41
Msmplics.dll (WOW64)1.5.1981.09,08819-Jan-201023:41
Msmpres.dll1.5.1981.0764,28819-Jan-201023:59

Problemas conocidos


Si realiza la solución que se describe bajo el encabezado "Problema 2" al instalar el hotfix 976668 como usuario interactivo en un equipo que ejecuta Windows 2000, también debe ejecutar esta actualización como usuario interactivo. Este requisito es necesario porque esta actualización desinstala la actualización que se describe en el artículo KB 976668 antes de instala esta actualización. Si instala esta actualización utilizando la cuenta LocalSystem, los mismos problemas que se describen en el artículo KB 976668 se producen durante la que desinstalar la fase de la actualización.

Estado


Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".