警惕！传奇私服RootKit使用PotPlayer白加黑进行传播

www.

特别鸣谢：感谢卡饭论坛落华无痕的帮助

今日，在远程帮助一位用户解决RootKit问题时，发现360急救箱与火绒恶性木马专杀工具始终处理干净该RootKit（指重启后病毒仍然存在），如下图所示：

通过ARK工具得到病毒驱动的注册表路径为HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\798cc6c9，但是无法打开，尝试进PE内清除病毒，如下图所示：


但是在PE内删除驱动文件和驱动注册表之后，重启后病毒仍然存在，如下图所示：


经过PE内一番排查，落华无痕在PE内采用了“提前占坑”的方法，发现重启后病毒驱动并未再次出现

而后续将“占坑文件”再次删除后，病毒驱动则再次出现

以上种种迹象表明病毒驱动可能是系统内的别的其他的程序创建的

于是，再次将病毒驱动删除后，成功通过火绒自定义规则找到罪魁祸首——PotPlayer


PotPlayer使用计划任务实现自启动，如下图所示：


将PotPlayer提取后，360高风险提醒了一个dll：


VirusTotal第一次上传，部分厂商报毒该dll会修改代{过}{滤}理设置，如下图所示：


后续经过测试成功通过该白加黑PotPlayer复现加驱，如下图所示：


Iocs：

文件名	MD5	Sha-1	Sha-256
DaumCrashHandler(1).dll	dacd2eebd7c903a79efcabfe11a65850	ee7d727078551825f53ebe08212edf88de007582	0bc8f134f9128db3893b9ef6f69eac4ab58c3d9ab044ac50a2c568473f275a54
DaumCrashHandler(2).dll	3868f1d124e6af071674759c3bc57453	6060ef78c04119aed4e4123ba750ca0b3c0b41b7	17125b47adfc5f0aece056557ffe4f9a4eea9266eed353efad5ebe6d67321c15
18f71fc3.sys	232b0156173a9f8f5db6b65aa91e923b	e418b666d73deabfe1d7361737f49620e39be615	9bfa994918b76bcbf7b225b2f94f8e961982caf3b5bc0d1dcb683b40e4549a54

红豆没绿豆

发错区了

鸡墩墩

确实无理

我要看看我的我的potplayer，我在zol软件园下的