Сайт клана POWER - LineAge 2 Interlude

19.10.2008 - Срабатывания антивируса на файл L2.exe

После очередного обновления вирусной базы программа NOD32 удалила исполняемый файл l2.exe, пометив его как Win32/Packed.Themida

Из-за этого я целый час не мог зайти в игру, разбираясь в чем дело и что дальше делать - ведь файл с патча, расположенного на игровом сервере.
Поиски в интернете привели меня к двум выводам:
1. Вирус в этом файле или нет - установить с моими возможностями не удастся.
2. Мы играем в LineAge2 на свой страх и риск.

Вот выдержки с разных сайтов:
Цитата
Themida - коммерческая утилита-протектор. Ее цель - защитить программный код от его изучения, модификации, взлома путем запутывания. Если исходный код, написанный программистом, и полученный после компилляции, относительно легко читаем в программе-дизассемблере (соответственно, его легко изменить, "взломать"), то тот же код, обработанный Themida, превращается в "кашу", разобраться в которой довольно трудно.

Применяя Themida автор полезной программы может существенно усложнить ее взлом, защитив тем самым свою программу от пиратства.

Автор вируса обрабатывает свое творение с другой целью: чтобы получить вредоносный код, распознать который антивирусу будет очень сложно. Таким образом реализуется обфускация кода.

Алгоритм "распутывания" сложен, да и сама дешифровка занимает относительно много времени.
Некоторые антивирусы поддерживают Themida и могут добраться до распутанного содержимого, а некоторые поступают проще: по некоторым признакам определяют, что файл обработан Themida, и автоматически называют его вредным, не осложняя себе жизнь анализом собственно содержания файла.


Цитата
Themida - это специфический продукт юго-восточной программерской мысли. На сколько мне известно, в определенных вариациях (и при бездумном применении) может превратиться в достаточно мощное malware средство. Модификация L2 теоретически безопасна для пользователя и его машины (вариация как средство защиты L2.exe от модификации, что, впрочем, не мешает оперировать с памятью процесса в некоторых пределах). Тем не менее некоторые антивирусы по-прежнему после каждого чиха ncsoft начинают орать о том, что нашни themida в l2.exe и как они его покарали. Либо добавлять в исключения, либо писать в саппорт, либо воспользоваться другим антивирусом.

Nod32 - ложные сратабывания Win32/Packed.Themida - при проверке файла - антивирус не может расспаковать данный файл и навсякий случай ругается.

Срабатывания антивируса на этот же файл с других серверов не происходило, однако они не подходят для нашей сборки Interlude.
  • 1
  • 2

    И под конец статьи, приведу анализ файла L2.exe из патча с нашего игрового сервера разными антивирусами, предоставленный сервисом www.virustotal.com

    Так что решать Вам - играть или не играть.
    Опубликовано на сайте: http://l2power.25dv.ru
    Прямая ссылка: http://l2power.25dv.ru/index.php?name=news&op=view&id=16