eTrust Antivirus/InoculateIT for Windows NT/2000/XP Version 6.0 Service Pack 2 Build 320

I. 更新ルーチン
II. 修正点

I. 更新ルーチン

AdmnView.dll 737280 THU JAN 02 18:41:45 2003
arclib.dll 370144 FRI JAN 31 15:18:07 2003
InConfig.dll 515894 WED DEC 18 09:58:46 2002
InoAlert.dll 122880 FRI DEC 06 15:07:01 2002
InocAdn.dll 508649 FRI MAR 01 10:18:04 2002
InocIT.exe 258048 MON JAN 13 17:46:44 2003
inocmd32.exe 143360 TUE DEC 03 10:08:27 2002
InoDist.exe 163840 MON OCT 21 16:25:05 2002
InoNmSrv.exe 462658 TUE AUG 27 12:14:52 2002
InoPrf.dll 173447 THU SEP 26 22:25:36 2002
InoRT.exe 196608 MON DEC 30 16:39:49 2002
InoScan.dll 151552 TUE NOV 26 13:16:26 2002
InoSetup.dll ...... THU JAN 30 ........ 2003 (ファイル サイズおよび時間は言語により異なる)
InoTask.exe 172032 THU NOV 14 12:55:09 2002
Realmon.exe 557056 MON AUG 19 09:48:44 2002
RPCMtAdn.dll 466006 TUE AUG 27 13:17:00 2002
ScanView.dll 528384 THU JAN 02 15:37:15 2003
secAPI.dll 255149 FRI MAY 03 18:03:20 2002
Shellscn.exe 315392 WED JAN 15 17:09:05 2003
subnet.txt 5211 TUE NOV 20 11:37:52 2001
Wbkrsrc.dll 57344 THU JUL 18 11:03:39 2002

1．subnet.txtの構文に誤り
subnet.txtにおいて､ASUtil.exeで使用する構文に誤りがありました。正しくは､「Elec-Method」は最後ではなく､「Max-Missed-Poll」の後にきます。正しい構文は以下になります。

誤った構文[コンマの後のスペースは削除]：
Desp, IP Addr, Mask, Org, Port, Max-Missed-Poll, Timeout, Rep-Days, Rep-H, Rep-M, Elec-Method

正しい構文[コンマの後のスペースは削除]：
Desp, IP Addr, Mask, Org, Port, Max-Missed-Poll, Elec-Method, Timeout, Rep-Days, Rep-H, Rep-M

2．Windows XPおよびシグネチャ ダウンロードに関する修正モジュール
Windows XP環境下におけるeTrust Antivirus製品に関する以下の懸案が解決されました。
・迅速なユーザ スイッチ
・CABファイルのメモリ リーク
・クリティカル セクションのタイムアウト
・マシンID 0とルート分岐との矛盾
・日本語プラットフォームでスキャン中に､5文字のフォルダ名に起因する一般保護障害が発生

本修正モジュールはまた､シグネチャ ダウンロードに関する障害にも対応しています。インスタンスによっては､シグネチャ ダウンロード処理が完了できない場合がありました。最新シグネチャ ファイルの中に完全にダウンロードができなかったものがあると､ファイル間のミスマッチを引き起こします。これらミスマッチ ファイルは､eTrust Antivirus製品を使用している他のマシンへ配布されてしまいます。システムは､新たに別のシグネチャ バージョンが利用可能となるまで､最新のシグネチャのダウンロードの再実行はおこないません。

3．シグネチャ ダウンロードでファイルのミスマッチが発生
インスタンスによっては､シグネチャ ダウンロード処理が完了できない場合がありました。最新シグネチャ ファイルの中に完全にダウンロードができなかったものがあると､ファイル間のミスマッチを引き起こします。これらミスマッチ ファイルは､eTrust Antivirus製品を使用している他のマシンへ配布されてしまいます。システムは､新たに別のシグネチャ バージョンが利用可能となるまで､最新のシグネチャのダウンロードの再実行はおこないません。

4．リアルタイム モニタにおけるハンドルリーク
リアルタイム モニタを有効に設定し､特定のファイルへアクセスすると､InoRT.exeプロセスにおいてハンドル数が増加します。マップしたドライブから特定の*.cppあるいは*.cファイルへアクセスすると､この状態が発生していました。
本修正モジュールはまた､リアルタイム モニタを有効にしてマシンへ製品インストールをおこなうと､エラー表示がでる障害にも対応しています。

5．Inocmd32.exeの使用中にスキャンエラー200が発生
Inocmd32.exeを使用してスキャンを実行中､既にオープンになっているファイルもありますが､このようなオープン ファイルはスキャン不可能であるため､以下のスキャン エラー メッセージが表示されます。

"Scan error -200 occurred while processing file:(ファイル名)"

これは､既にオープンになっているファイルをスキャンした場合の通常動作になります。混乱を避けるため､スキャン エラー メッセージを以下のように変更しました。

"Scan error -200. File open - scan bypassed:
(ファイル名)"

6．ブランチへのポリシー適用時にエラーが発生
管理サーバにおいて､組織ツリーのブランチへポリシーを適用する際に､以下のエラーメッセージが発生することがあります。

"Error assigning [xxx] Policy to branch."
"The RPC server is unavailable [1722]."

（[xxx]部分は適用するポリシーが入ります。例：リアルタイム､ジョブ､アラートなど）

7．名前のないファイルをスキャンできない
ファイル名が拡張子のみ（例：.eml）になっているファイルは､ローカルまたはシェルスキャナでスキャンすることができません。

8．システム修復が有効設定されているとリアルタイム モニタで[ファイルの修復]処理が動作しない
リアルタイム モニタで修復を設定して感染したファイルをスキャンする場合､[駆除処理オプション]の「システム修復」セクションで[システム修復を有効にする(S)]を選択していると､感染ファイルの検出はされるものの､修復はおこなわれません。
感染ファイルに対してのアクションは､[駆除処理オプション]の[駆除失敗時の処理]セクションで指定した処理が行われます。デフォルトでは[ファイル名の変更(R)]が行われます。[駆除処理オプション]を開くには､システムトレイのリアルタイム モニタ アイコンを右クリックし[リアルタイムオプション(R)]を選択して､[スキャン]タブをクリックし､最後に[ファイルオプション(F)]ボタンをクリックしてください。

9．Windows XPがWindows 2000と表示される
管理者ビューで､Windows XPマシンがWindows 2000と表示されてしまいます。修正モジュールにより､Windows XPと正しくOSが表示されます。

10．パッシブFTP接続
パッシブFTP接続のネットワーク環境では､シグネチャをダウンロードすることができません。このモードでシグネチャ ダウンロードをおこなうには､以下のジストリ値を生成して1と設定する必要があります。

HKEY_LOCAL_MACHINE�SOFTWARE�ComputerAssociates�ScanEngine�Distribute
PassiveFTP:REG_DWORD:1

11．アラート機能におけるメッセージの切り捨ておよび転送に関する障害
アラート機能に関する修正点：
a) アラート機能が有効になっていると､リアルタイム検知のイベント ログ メッセージが切り捨てられる
b) 3つのマシンでの状況例
マシンAにおいて､[イベントログ]､および[転送先]としてマシンBを設定
マシンBにおいて､[ローカルAlertマネージャ]､および[転送先]としてマシンCを設定
マシンCにおいて､[ローカルAlertマネージャ]を設定
上記で､いずれもマシンでもAlertメッセージは受信されません。ここでもし､マシンAおよびBで別マシンの転送設定(つまり[転送先]として別マシンを指定)のみがおこなわれていた場合､メッセージは受信されます。

設計上､マシンAから転送されるメッセージはマシンCのみに受信されます。マシンBはローカルAlertマネージャで自身のイベントを受信しますが､マシンAから転送されるイベントを記録することはありません。
本修正モジュールにより､転送機能は以下のように対応します。
A − マシンAからイベントログへのメッセージの書込みとマシンBへの転送
B − マシンAおよびBからローカルAlertマネージャへのメッセージの書込みとマシンCへの転送
C − マシンA､B､CからローカルAlertマネージャへのメッセージの書込み

12．Win9xマシンをブランチへ割り当てる際にエラーが発生
管理サーバにおいて､Win9xマシンをブランチへ割り当てる際に､以下のエラーが発生します。
"The RPC server is unavailable [1722]."

13．Exchange Option実行時､シグネチャ アップデートの後にDr. Watsonが起動
Exchange Optionを実行中のExchangeサーバで､シグネチャ アップデートの後にDr. Watsonが起動することがあります。

14．管理サーバでのアクションでDr. Watsonが起動する
以下が管理サーバにおける修正点です。
a) [実施ポリシー]でポリシーを参照(リアルタイムまたはシグネチャ配布など)し､パネル右側にある情報タブをクリックする際に､200を超えるブランチにポリシーが割り当てられているとDr. Watsonが起動。
b) 管理サーバの[環境設定]にある[実施ポリシー]において各ポリシー(シグネチャ配布など)のツリーを展開する際､生成されたポリシーが128を超えている場合にDr. Watsonが起動。

15．管理サーバの累積パッチ
以下が管理サーバにおける修正点です。
a) InoRpc.exeを実行するとCPU使用量が増加
b) Events.dbfファイルのサイズが増大しつづける
c) 管理サーバのログビューアで以下のエラー メッセージが表示される
"Proxy Server <マシン名> is too overloaded to process requests"

16．再配布機能の保留時間
[シグネチャアップデートオプション]−[送信]タブで「再配布までの保持時間」の値がゼロ以外に設定されている場合､正しく動作しません。シグネチャは保留されることなく即時配布されてしまいます。

17．圧縮ファイルのスキャンに関する障害
[圧縮ファイルもスキャンする]オプションを有効にし､圧縮ファイルをスキャンした場合の修正点は以下になります。
a) リアルタイム モニタ オプションの[圧縮ファイルファイルタイプ]で「Microsoft cabinet file(.CAB)」をスキャンするよう選択している場合､特定のCABファイル スキャンでInort.exeを実行するとメモリ使用量が増大します。「Microsoft cabinet file(.CAB)」オプションにアクセスするには､システム トレイのリアルタイム モニタ アイコンを右クリックし､[リアルタイムモニタオプション]−[選択]−[圧縮ファイルもスキャンする]で[タイプの選択]をクリック選択します。
b) [圧縮ファイルオプション]で[ファイルの内容で判別(低速)]を選択すると､UUエンコードされた圧縮ファイルのローカル スキャン実行中に､eTrust Antivirusアプリケーションがハングしてしまいます。[圧縮ファイルオプション]にアクセスするには､メニューから[スキャナ]−[ローカルスキャナオプション]−[選択]−[圧縮ファイルもスキャンする]で[オプション]をクリックします。
c) [圧縮ファイルタイプ]で[Microsoft cabinet file]オプションを選択した場合､特定の.CABファイルのスケジュール スキャン実行時に､以下が発生することがあります。

1) Inotask.exeプロセスで仮想メモリサイズが増加
2) Inotask.exeプロセスでメモリ使用量が増加
3) Windows 2000環境下でInotask.exeが異常終了
4) NT 4.0環境下でDr. Watsonが起動
[Microsoft cabinet file]オプションへアクセスするには､メニュから[スキャナ]−[スケジュールされたスキャンジョブ]−[作成]−[選択]−[圧縮ファイルもスキャンする]で[タイプの選択]をクリックします。

18．マシンでメッセージポリシー違反があったとのエラーがでる
管理サーバにて､[ログビューア]の[総合イベント]セクションで以下のエラー メッセージが表示されます。

"The machine (マシン名) has violated messaging policy, setting to conform with policy (ポリシー名)"

19．管理サーバで特定のクライアントが検出できない
サブネット上のeTrustクライアント マシンの中に､管理サーバで自動検出できないものがあります。そのマシンで「netstat −an」が起動していると､UDPポート42508が列挙されません。

20．イベント ビューアでのパフォーマンスデータエラー
イベント ビューアのアプリケーション ログで以下のエラー メッセージが繰り返し表示される場合があります。

"The buffer size returned by a collect procedure in Extensible Counter DLL "...�eTrust�Antivirus�InoPrf.dll" for the "InoRT" service was larger than the space available. Performance data returned by counter DLL will be not be returned in Perf Data Block. Overflow size is data DWORD 0."
マシン上でSDO（Software Delivery Option）が起動している場合に発生します。

21．シグネチャ アップデートでエラー193が発生
シグネチャのダウンロード時にエラー193が発生します。以下の2ヵ所でエラーが表示されます。
a) 「X:�Program Files�CA�Common�ScanEngine�Logs」のログ ファイルで､ダウンロード日時を表すファイル名になっています（例：20021007155347.txt）。以下がエラーの例です。

2002/02/25 20:11:52,2,SYSTEM,193,Internal error: Cannot create process for C:�Program Files�CA�Common�ScanEngine�Incoming�fv_nt86.exe /S

b) メニューから[表示]−[ログビューア]を選択し､パネル左側の配布イベントを選択します。パネル上部右のシグネチャ アップデートの日付を選択すると､以下のような詳細が表示されます。

Code: 193
Description: Internal error: Cannot create
process for X:�Program Files�CA�Common�ScanEngine�Incoming�fi_nt86.exe /S

22．スヌーズ モードでリブート後にリアルマイム モニタが無効になる
リアルタイム モニタがスヌーズ モード設定の場合､システムをリブートまたはログオフ/ログオンすると､リアルタイム モニタが無効となってしまいます。

23．管理サーバでサブネットを反転表示すると印刷機能が灰色表示される
管理サーバにおいて､サブネットを選択（パネル左側でサーバ名を選択して[環境設定]−[サブネット]を選択）､または組織ツリーを選択すると､印刷機能が（メニューから[ファイル]−[印刷]）灰色表示されてしまいます。

24．ローカルおよびスケジュール スキャン ジョブがフリーズ
1. Microsoft Cabinetファイル（.cab）および特定の*.cacheファイルをスキャンすると､ローカル スキャナおよびスケジュール スキャン ジョブがフリーズ
2. スケジュール スキャン ジョブ実行中に仮想メモリが上がる
3. X:�Program Files�CA�eTrust�Antivirus�ARCTEMPディレクトリに､ゼロKBの*.tmpファイルが大量に残っている

25．プロキシ サーバでポーリングが正しく動作しない
管理サーバで､ログ ビューアの[General Events]に以下のエラー メッセージが表示されます。

"The proxy [XXXX] has missed a poll. It is likely that policy cannot be applied to its branches."

[XXXX]部分は管理サーバのマシン名になります。

26．パフォーマンス データ サービスが利用不可
イベント ビューアのアプリケーション ログで以下のエラー メッセージが繰り返し表示される場合があります。

"The Open Procedure for service "InoRT" in DLL "C:�Program Files�CA�eTrust�Antivirus�InoPrf.dll" failed. Performance data for this service will not be available. Status code returned is DWORD 0".

マシン上でSDO（Software Delivery Option）が起動している場合に発生します。

27．アラート イベントがフィルタリングされない
アラート マネージャで､電子メール経由でのアラート送信を設定している場合､クライントで大量の電子メール メッセージを受信してしまうことがあります。

"event time 10:00:00 01/01/' ': event number 0:
machine (xxxx): response time 22:46:09 06/13/02"
[xxxx]部分はマシン名になります。

28．シグネチャ ダウンロードに関する障害
サーバでのシグネチャ ダウンロード実行時､以下の障害が発生することがあります。

1. エラー267が発生。
"The configuration file is being used by another process."

2. 重大エラー3が発生。
"The system cannot find the path specified."

これらのエラーは､ログ ビューアに表示されます。ログ ビューアにアクセスするには､メニューから[表示]−[ログビューア]と選択し､パネル右側の配布イベントを反転表示させます。パネル上部左側でシグネチャ アップデートの日付を選択します。

29．アクセス権限における脆弱性
eTrust Antivirus製品の機能には､別プロセスを生成することで実行されるものがあります。プログラム実行前にeTrust Antivirus製品は､弊社がファイル内に設定したデジタル署名の確認をおこないます。署名が有効でない場合､ファイルは実行されません。ただし､ある条件のもとでは､システムに渡されるコマンド ラインがあいまいになる場合があります。これにより感染したシステムは､意図されたものとは別のプログラムを誤って実行してしまう可能性があります。その場合プログラムは呼び出しプロセス(システム アカウントのもとで実行)の権限をそのまま継承し､ローカル マシンの情報およびリソースに対してのフル アクセス権をもつことになります。

30．マシンでポリシー違反があったとのエラーがでる
クライアントマシンによっては､ポリシーの設定で[このポリシーの適用時に設定をロックする]が有効で､クライアントマシンが置かれるブランチにこのポリシーを割り当てていることがありますが､この場合､以下のエラー メッセージがクライアント マシンから出されることがあります。

1. “The machine (マシン名) has violated messaging policy, setting to conform with policy ()".

2. “The machine (マシン名) has violated realtime policy, setting to conform with policy (ポリシー名)".

3. “The machine (マシン名) has violated distribution policy (ポリシー名)".

管理サーバでは､これらのメッセージはログ ビューアの[総合イベント]で表示されます。

31．シグネチャのバージョンが0.0.0と表示される
シグネチャ アップデートの後､シグネチャおよびスキャン エンジンのバージョンでミスマッチが起こり､シグネチャ バージョンが0.0.0と表示される場合があります。その後のシグネチャ アップデートは失敗に終わります。

32．inocmd32 exeで無効なコマンド ラインを入力するとDr. Watsonが起動する
inocmd32 exeにおいて､特定のコマンド ラインの引き数がDr. Watsonを起動させてしまう場合があります。
例：inocmd32 exe test

33．LSASS.EXEによるCPU使用量増加によりドメインへのログイン動作が遅くなる
PDC(プライマリ ドメイン コントローラ)およびBDC(バックアップ ドメイン コントローラ)において､ユーザがドメインにログインする場合､プロセスLSASS.EXEによりCPU使用量が増加します。また､ログイン時に動作が非常に遅くなります。カレント ドライバにino_fltr.sysバージョンx.x.6000.80を適用するとこれが発生します。

34．CABファイルのスキャンにVetエンジンを使用するとローカル スキャナがハングする
スキャン エンジンをVetエンジンに設定し､[圧縮ファイルもスキャンする]を有効に設定してMicrosoft Cabinetファイル（.cab）をスキャンすると､スキャン中にローカルスキャナがハングする場合があります。スキャナオプションにアクセスするには､ローカルスキャナメニューから､[スキャナ]− [ローカルスキャナオプション]−[スキャン]−[検出]−[スキャンエンジン]を選択します。[選択]タブで[圧縮ファイルもスキャンする]−[タイプの選択]をクリックします。ここに[Microsoft Cabinet File]のタイプがリストされています。

[ eTrust Antivirus/InoculateIT Support Topへ戻る ]