[心得] Avast 誤判 Adobe Acrobat 9.2 - ELEVATOR.EXE
檢測環境:Windows XP Pro SP2,
雙防毒 Avast 4.8 Pro & NOD32 2.70.32 (NOD32未反應)
幾天前更新完 Acrobat Pro 9.2 後,今天我的Avast 4.8 Pro突然跟我發出警訊,說明
C:\ProgramData\Adobe\Acrobat\9.2\ARM\Elevator.exe
C:\Documents and Settings\All users\Application Data\Adobe\
Acrobat\9.2\ARM\Elevator.exe
等路徑有可能是惡意程式(Win32:Malware-gen),
雖然我一開始不清楚這個程式的作用,但是保險起見,還是作了簡單的確認檢索。
首先我先去找 Adobe 和 Avast 的官網,由於並沒有相關的資料說明,
很難確認是 誤判(False Positive) 還是 檔案遭到感染。
但是在 Avast 的論壇上有外國網友提及 Avast 4.8 可能將 Adobe Acrobat 9.2 誤判,
甚至所有未升級至最新版的 Acrobat 都可能被誤認為 False Positive。
參考:http://forum.avast.com/index.php?topic=73002.0
因此第二步我將 Elevator.exe 傳送到 http://www.virustotal.com/index.html 上面,
找出 MD5 Hash 為 9790699e527c78cdb8428627c1efdaa9 ,大小約為 21.3 KB。
結果如右:http://tinyurl.com/4odg2ju
保險起見,我還是 run 了 Combofix、Hijackthis,
基本上小弟個人初步判斷應該只是無害的檔案,屬於 False Positive 誤判。
(除了SRENG2過期無法使用,Combofix及Hijackthis有需要再將 Log 檔傳到網路硬碟)
如果真的害怕,使用者可以自己到工作管理員把所有相關的檔案關閉,
例如 ELEVATOR、Elevator、elevator 等等,
或是將記憶體存取例外排除,使記憶體不要寫入該 Hash 即可。
雖然結果是虛驚一場,但是仍然不能保證是否為誤判還是真有病毒(個人傾向於後者啦)。
因此我也將此一檔案傳送分析給 Avast,但似乎效率沒有很好 XDD,目前等待回應中。
以上一點資訊提供參考。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 125.227.132.37
推
03/15 22:44, , 1F
03/15 22:44, 1F
→
03/16 23:41, , 2F
03/16 23:41, 2F
→
03/17 05:16, , 3F
03/17 05:16, 3F
→
03/17 14:24, , 4F
03/17 14:24, 4F
→
03/17 18:29, , 5F
03/17 18:29, 5F
→
03/18 23:26, , 6F
03/18 23:26, 6F
→
03/18 23:26, , 7F
03/18 23:26, 7F
→
04/20 11:40, , 8F
04/20 11:40, 8F