インドネシア版の Emil Chronicle Online のランチャーがマルウェアの誤検出される理由が判明
インドネシア版のエコランチャーが一部のセキュリティソフトでマルウェアに誤検出される件ですが、理由が判明しました。
ファイルのセクションテーブルを見ると .enigma1 /.eniguma2 というのがあるのが分かります。
Enigma Virtual BoxでRPGツクールVX Aceのゲームを一個にまとめる - 鳥小屋.txt
これ、実は Enigma Virtual Box という暗号化ツールなのですが、このセクションがあるだけで、マルウェアとして、検出する手抜きのセキュリティソフトが存在するのです
いやこれはしゃーないよ 。マルウェアをパッカーで難読化してパターンマッチ避けってド定番だし……
アンチウィルス各社はどこの馬の骨が作ったともしれない古今東西ありとあらゆるパッカーのアルゴリズムを解析してデコードモジュールをアンチウィルスに搭載しなきゃならんとかちょっと無理がある。
本来ならユーザ→アプリの開発者→パッカー開発者の順で誤検知の報告と対策要求飛ばして、パッカー開発者がアンチウィルスメーカにデコードロジック提供の代わりに問答無用マルウェア認定辞めるように要望してそれが通らなくて初めてアンチウィルスメーカの対応が手抜きかもってレベルじゃないかね。
アンチウィルスメーカなんて難読化対処するのも仕事のうちではあるかも知れんが、マイナーパッカーの全バージョン含めて全部解析しろはちょっと高望みしすぎ。
パッカー作る側も技術を凝らしてくるんだし……