VMware Carbon Black Cloud Endpoint Ökning av kodinjektionsvarningar med CreateRemoteThread eller NtQueueApcThread
Summary: I den här artikeln beskrivs ett problem i VMware Carbon Black Cloud Endpoint ökar kodinmatningsaviseringarna med hjälp av CreateRemoteThread eller NTQueueApcThread.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Berörda produkter:
- VMware Carbon Black Cloud Endpoint
Berörda versioner:
- v3.7.0.1253
Cause
När du har uppgraderat eller installerat sensorversion 3.7.0.1253 kan du se en ökning av observerade aviseringar för kodinmatning genom att anropa funktionerna CreateRemoteThread eller NtQueueApcThread.
Obs! I det här exemplet rapporterar VMware Carbon Black Cloud att svchost.exe har injicerat kod i en systemprocess csrss.exe.
Resolution
Supporten undersöker de ändringar som orsakade ökningen av observerade aviseringar för en permanent korrigering.
Du kan på ett säkert sätt avfärda de varningar om mata in kod som observeras för funktionerna i CreateRemoteThread eller NtQueueApcThread.
Så här verifierar och avvisar du dessa aviseringar
- Öppna webbläsaren och gå till [REGION].conferdeploy.net.
Obs! [REGION] = klientens region
- Nord- och Sydamerika = https://defense-prod05.conferdeploy.net
- Europa = https://defense-eu.conferdeploy.net/
- Asien/Stillahavsområdet = https://defense-prodnrt.conferdeploy.net/
- Australien och Nya Zeeland: https://defense-prodsyd.conferdeploy.net
- Nord- och Sydamerika = https://defense-prod05.conferdeploy.net
- Logga in på VMware Carbon Black Cloud.
- I den vänstra menyrutan klickar du på Aviseringar.
- Klicka på moroten för att expandera varningen.
- Klicka på ikonen Undersök .
- Kontrollera att funktionen som anropas är antingen CreateRemoteThread eller NtQueueApcThread.
Obs! Om mata in kodaviseringar observeras för någon annan funktion än CreateRemoteThread eller NtQueueApcThread kontaktar du supporten för att undersöka vidare. Se Så får du support för VMware Carbon Black Cloud Endpoint. - Expandera motsvarande händelse och klicka på Stäng avisering.
- Klicka på Avfärda
Obs! Du kan välja att stänga alla framtida förekomster genom att markera fältet bredvid Om den här varningen inträffar i framtiden ska du automatiskt stänga den från alla enheter.
Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.
Affected Products
VMware Carbon BlackArticle Properties
Article Number: 000191040
Article Type: Solution
Last Modified: 08 Aug 2024
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.