今天在咱们精易论坛下载了个官方版本的精易助手。
然后运行后报毒。没事小问题,毕竟 “易产品大概率都是误报” 添加信任即可。
可是添加信任之后运行 精易助手 后,360给我提示如下信息。
今天在咱们精易论坛下载了个官方版本的精易助手。
然后运行后报毒。没事小问题,毕竟 “易产品大概率都是误报” 添加信任即可。
可是添加信任之后运行 精易助手 后,360给我提示如下信息。
时间 操作 说明 次数
2022-05-07 10:10:04 [已阻止] 修改 系统关键COM组件 防护 1 次
详细描述:
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{3AE4BB27-46B9-46A0-8817-A3AF282B4BEC}\PROXYSTUBCLSID32\[]
注册表内容:{00020420-0000-0000-C000-000000000046}
进程:C:\Windows\SysWOW64\regsvr32.exe
父进程:D:\INSTALLFILE\YYY\精易编程助手3.98\精易编程助手.EXE , (104)
风险文件:C:\USERS\40472\APPDATA\LOCAL\TEMP\JYSOCKET.DLL
不再提醒(0x6275d4fc)
防护信息: RD|30, 10, -1|ED981E1D6FCCA8717B4E4F416F5116E9|<sha1>30849d63df3125538eb784a12037dac787173055</sha1>
发现它往我得 Temp目录释放了 JYSocket.dll。 而且是UPX加壳软件。
逆向分析发现就是在进行网络操作。没有去抓包。 想问下这个DLL能解释下是干啥的吗。(没有详细逆向,只是有疑问)
既然产品是正规的,为啥这种文件不放在自己的 目录下,释放到自己目录下,为啥要释放在 跟病毒行为一样的”Temp"目录下。
文件已经上传:
https://w1x8.lanzouu.com/iK2Uh04f3aeh 密码:9xja
下载:https://w1x8.lanzouu.com/ioDJq04f3agj 密码:d2df
有能力者或者有时间着可以分析下。
|