大家来谈谈，这是啥操作。

MC心奇 · 发表于 2022-5-7 10:39:09

今天在咱们精易论坛下载了个官方版本的精易助手。
然后运行后报毒。没事小问题，毕竟 “易产品大概率都是误报” 添加信任即可。
可是添加信任之后运行精易助手后，360给我提示如下信息。

时间  操作  说明  次数
2022-05-07 10:10:04 [已阻止]     修改 系统关键COM组件  防护 1 次
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{3AE4BB27-46B9-46A0-8817-A3AF282B4BEC}\PROXYSTUBCLSID32\[]
注册表内容：{00020420-0000-0000-C000-000000000046}
进程：C:\Windows\SysWOW64\regsvr32.exe
父进程：D:\INSTALLFILE\YYY\精易编程助手3.98\精易编程助手.EXE , (104)
风险文件：C:\USERS\40472\APPDATA\LOCAL\TEMP\JYSOCKET.DLL 
不再提醒(0x6275d4fc)
防护信息: RD|30, 10, -1|ED981E1D6FCCA8717B4E4F416F5116E9|<sha1>30849d63df3125538eb784a12037dac787173055</sha1>

发现它往我得 Temp目录释放了 JYSocket.dll。而且是UPX加壳软件。
逆向分析发现就是在进行网络操作。没有去抓包。想问下这个DLL能解释下是干啥的吗。（没有详细逆向，只是有疑问）
既然产品是正规的，为啥这种文件不放在自己的目录下，释放到自己目录下，为啥要释放在跟病毒行为一样的”Temp"目录下。

文件已经上传：
https://w1x8.lanzouu.com/iK2Uh04f3aeh 密码:9xja
下载:https://w1x8.lanzouu.com/ioDJq04f3agj 密码:d2df
有能力者或者有时间着可以分析下。

镜oo月 · 发表于 2022-5-19 11:58:00

说到底你还是相信了360

爱你入骨 · 发表于 2022-5-9 14:59:35

说到底你还是相信了360

xinhan2012 · 发表于 2022-5-9 14:34:33

说到底你还是相信了360

飘在空气里 · 发表于 2022-5-8 23:05:23

说到底你还是相信了360

MC心奇 · 发表于 2022-5-7 15:08:47

遗失的眼泪发表于 2022-5-7 11:15
JYSocket.dll 看名字应该是精易助手里网页调试socket功能

谢谢，确实如此。被拦截之后网页调试socket确实不能用了。

MC心奇 · 发表于 2022-5-7 15:08:20

我就是无赖发表于 2022-5-7 14:21
说到底你还是相信了360

关键是它没签名，也没属性。不是相信360.只是用它看了下日志。哈哈。

我就是无赖 · 发表于 2022-5-7 14:21:32

说到底你还是相信了360

鬼公子 · 发表于 2022-5-7 12:41:51

说到底你还是相信了360

弱鸡第一步 · 发表于 2022-5-7 12:39:22

说到底你还是相信了360

[大家谈谈] 大家来谈谈，这是啥操作。

点评

		自动登录	找回密码
密码			注册