火绒安全软件

标题: 警惕！传奇私服RootKit使用PotPlayer白加黑进行传播 [打印本页]

作者: www. 时间: 2022-5-17 20:41
标题: 警惕！传奇私服RootKit使用PotPlayer白加黑进行传播
特别鸣谢：感谢卡饭论坛落华无痕的帮助

今日，在远程帮助一位用户解决RootKit问题时，发现360急救箱与火绒恶性木马专杀工具始终处理干净该RootKit（指重启后病毒仍然存在），如下图所示：
[attach]81057[/attach]
通过ARK工具得到病毒驱动的注册表路径为HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\798cc6c9，但是无法打开，尝试进PE内清除病毒，如下图所示：
[attach]81058[/attach][attach]81059[/attach]

但是在PE内删除驱动文件和驱动注册表之后，重启后病毒仍然存在，如下图所示：
[attach]81060[/attach]

经过PE内一番排查，落华无痕在PE内采用了“提前占坑”的方法，发现重启后病毒驱动并未再次出现

而后续将“占坑文件”再次删除后，病毒驱动则再次出现

以上种种迹象表明病毒驱动可能是系统内的别的其他的程序创建的

于是，再次将病毒驱动删除后，成功通过火绒自定义规则找到罪魁祸首——PotPlayer
[attach]81061[/attach]

PotPlayer使用计划任务实现自启动，如下图所示：
[attach]81062[/attach][attach]81063[/attach][attach]81064[/attach]

将PotPlayer提取后，360高风险提醒了一个dll：
[attach]81065[/attach]

VirusTotal第一次上传，部分厂商报毒该dll会修改代{过}{滤}理设置，如下图所示：
[attach]81066[/attach]

后续经过测试成功通过该白加黑PotPlayer复现加驱，如下图所示：
[attach]81067[/attach]

Iocs：

文件名	MD5	Sha-1	Sha-256
DaumCrashHandler(1).dll	dacd2eebd7c903a79efcabfe11a65850	ee7d727078551825f53ebe08212edf88de007582	0bc8f134f9128db3893b9ef6f69eac4ab58c3d9ab044ac50a2c568473f275a54
DaumCrashHandler(2).dll	3868f1d124e6af071674759c3bc57453	6060ef78c04119aed4e4123ba750ca0b3c0b41b7	17125b47adfc5f0aece056557ffe4f9a4eea9266eed353efad5ebe6d67321c15
18f71fc3.sys	232b0156173a9f8f5db6b65aa91e923b	e418b666d73deabfe1d7361737f49620e39be615	9bfa994918b76bcbf7b225b2f94f8e961982caf3b5bc0d1dcb683b40e4549a54

作者: 红豆没绿豆 时间: 2022-5-18 07:40
发错区了

作者: 鸡墩墩 时间: 2022-6-24 16:14
确实无理

作者: 顾博文 时间: 2022-6-24 16:18
提示: 作者被禁止或删除内容自动屏蔽

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)