arma2oa.exe wird seit heute von der Verhaltensanalyse erkannt

[Skandal 2]

Hallo Emsi Team,

 

ich hab seit heute das Probelm, das die im Betreff genannte .exe von der Verhaltensanalyse erkannt wird.

Die exe gehört zu Arma 2 Operation Arrowhead, ist allerdings eine Beta.exe

 

Das komische ist, das ich diese seit geraumer Zeit nutze und nie hatte Emsi irgendetwas daran auszusetzen.

 

Insgesammt bekomme ich zwei Meldungen, einmal zum Start des Spiels:

 

Behavior.RemoteControl

 

und einmal im Spiel:

 

Behavior.CodeInjector

 

Könnt Ihr dazu etwas sagen?

Bin gerade etwas irritiert.

 

Bei Bedarf kann ich die exe auch anhängen.

 

Grüße

[Fabian Wosar 390]

Die wahrscheinlichste Erklaerung ist, dass fuer Arma 2 ein Update veroeffentlicht wurde, dass Emsisoft Anti-Malware noch nicht kennt. Ansonsten sind beide Alarme fuer Spiele mit dem SteamWorks Kopierschutz "normal".

[Skandal 2]

Es gab aber kein Update für Arma 2, einzig die Betaupdates welche aber von Hand eingespielt werden müssen.

Und Arma nutzt kein SteamWorks als kopierschutz, auch wenn dieses unter anderem über Steam vertrieben wird.

[Fabian Wosar 390]

IMHO ist Grundvorraussetzung fuer jedes Spiel, dass ueber Steam erhaeltlich ist, dass SteamWorks als Kopierschutz genutzt wird. Allerdings besitz ich kein Arma 2, weshalb ich es entsprechend auch nicht testen kann. Gibt es evtl. einen Download Link zu den Beta Updates und gab es da seit dem letzten Arma Start ohne Warnung ein Update?

[Skandal 2]

Hier gibt es die Beta Patches http://www.arma2.com/beta-patch.php

allerdings habe ich es eben auch mal ohne die Beta probiert, also das Spiel regulär gestartet selbe Meldung.

 

Und ein Update für Arma 2 gab es in letzter Zeit nicht, nur die oben erwähnten Betas.

Dazu sei gesagt, das ich da sogar eine Beta nutze, welche schon seit einigen Wochen erhältlich ist.

[Fabian Wosar 390]

Das Verhalten ist fuer die ARMA 2 Executables ebenfalls normal. Bleibt die Frage wieso es vorher nicht erkannt wurde. Eine Moeglichkeit ist, dass sich die Community Bewertungen verschoben haben, so dass die Datei nicht laenger automatisch erlaubt wird. Kannst Du Deine Datei mal bitte anhaengen? Danke.

[Skandal 2]

Das wäre eine Erklärung, wie gesagt passiert erst seit heute.

Im Anhang die .exe um die es geht.

 

 

[Fabian Wosar 390]

Okay, das Zertifikat das Bohemia Interactive zum Signieren seiner Executables benutzt ist heute abgelaufen. Leider haben sie es versaeumt die Dateien mit einem Timestamp zu signieren, weshalb EAM davon ausgehen muss, dass die Signatur ungueltig ist. Also voellig normal was Du auf Deinem System beobachtet hast. Die Verhaltensweisen waren schon immer da, aber wurden von EAM nicht angezeigt, weil wir Bohemia Interactive vertrauen und verifizieren konnten, dass die Datei von ihnen stammt. Das ist derzeit nicht mehr gegeben.

[Skandal 2]

Ahh ok, also ähnlich als wenn ein Zertifikat einer Webseite abläuft?

Also kann ich die Meldung getrost ignorieren und die .exe in die Ausnahmen aufnehmen?

[Fabian Wosar 390]

Ahh ok, also ähnlich als wenn ein Zertifikat einer Webseite abläuft?

So aehnlich, ja. Wenn Du mal in die Dateieigenschaften schaust, unter Digitale Signatur und dann doppelt auf die Signatur klickst, siehst Du entsprechend auch das Windows die Datei nicht mehr als signiert an sieht und wieso .

Also kann ich die Meldung getrost ignorieren und die .exe in die Ausnahmen aufnehmen?

Korrekt.