警惕!传奇私服RootKit使用PotPlayer白加黑进行传播
本帖最后由 ahov 于 2022-5-17 20:34 编辑特别鸣谢:感谢落华无痕的帮助
今日,在远程帮助一位用户解决RootKit问题时,发现360急救箱与火绒恶性木马专杀工具始终处理干净该RootKit(指重启后病毒仍然存在),如下图所示:
通过ARK工具得到病毒驱动的注册表路径为HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\798cc6c9,但是无法打开,尝试进PE内清除病毒,如下图所示:
但是在PE内删除驱动文件和驱动注册表之后,重启后病毒仍然存在,如下图所示:
经过PE内一番排查,落华无痕在PE内采用了“提前占坑”的方法,发现重启后病毒驱动并未再次出现
而后续将“占坑文件”再次删除后,病毒驱动则再次出现
以上种种迹象表明病毒驱动可能是系统内的别的其他的程序创建的
于是,再次将病毒驱动删除后,成功通过火绒自定义规则找到罪魁祸首——PotPlayer
PotPlayer使用计划任务实现自启动,如下图所示:
将PotPlayer提取后,360高风险提醒了一个dll:
VirusTotal第一次上传,部分厂商报毒该dll会修改代{过}{滤}理设置,如下图所示:
后续经过测试成功通过该白加黑PotPlayer复现加驱,如下图所示:
Iocs:
文件名MD5Sha-1Sha-256
DaumCrashHandler(1).dlldacd2eebd7c903a79efcabfe11a65850ee7d727078551825f53ebe08212edf88de0075820bc8f134f9128db3893b9ef6f69eac4ab58c3d9ab044ac50a2c568473f275a54
DaumCrashHandler(2).dll3868f1d124e6af071674759c3bc574536060ef78c04119aed4e4123ba750ca0b3c0b41b717125b47adfc5f0aece056557ffe4f9a4eea9266eed353efad5ebe6d67321c15
18f71fc3.sys232b0156173a9f8f5db6b65aa91e923be418b666d73deabfe1d7361737f49620e39be6159bfa994918b76bcbf7b225b2f94f8e961982caf3b5bc0d1dcb683b40e4549a54
{:1_893:}没想到potplayer都成传播工具了 我超,好牛{:1_893:} POTplayer不是个播放器吗 这个世界太危险了! 学习到了,感谢 这是被替换了吧~ 预防万一咯 感谢分享,赶紧看了下我的PotPlayer 谢谢分享,辛苦了