吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 17067|回复: 181
收起左侧

[PC样本分析] 警惕!传奇私服RootKit使用PotPlayer白加黑进行传播

    [复制链接]
ahov 发表于 2022-5-17 20:31
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 ahov 于 2022-5-17 20:34 编辑

特别鸣谢:感谢落华无痕的帮助

今日,在远程帮助一位用户解决RootKit问题时,发现360急救箱与火绒恶性木马专杀工具始终处理干净该RootKit(指重启后病毒仍然存在),如下图所示:  
FB37B83D-F4B2-499C-BA2F-56D144DC7733.png
通过ARK工具得到病毒驱动的注册表路径为HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\798cc6c9,但是无法打开,尝试进PE内清除病毒,如下图所示:
IMG_4664.JPG IMG_4662.jpg

但是在PE内删除驱动文件和驱动注册表之后,重启后病毒仍然存在,如下图所示:
IMG_4663.JPG

经过PE内一番排查,落华无痕在PE内采用了“提前占坑”的方法,发现重启后病毒驱动并未再次出现

而后续将“占坑文件”再次删除后,病毒驱动则再次出现

以上种种迹象表明病毒驱动可能是系统内的别的其他的程序创建的

于是,再次将病毒驱动删除后,成功通过火绒自定义规则找到罪魁祸首——PotPlayer
IMG_4659.jpg

PotPlayer使用计划任务实现自启动,如下图所示:
IMG_4656.jpg IMG_4657.jpg IMG_4658.jpg

将PotPlayer提取后,360高风险提醒了一个dll:

图源:落华无痕

图源:落华无痕


VirusTotal第一次上传,部分厂商报毒该dll会修改代{过}{滤}理设置,如下图所示:
IMG_4666.JPG

后续经过测试成功通过该白加黑PotPlayer复现加驱,如下图所示:

图源:落华无痕

图源:落华无痕


Iocs:
文件名MD5Sha-1Sha-256
DaumCrashHandler(1).dlldacd2eebd7c903a79efcabfe11a65850ee7d727078551825f53ebe08212edf88de0075820bc8f134f9128db3893b9ef6f69eac4ab58c3d9ab044ac50a2c568473f275a54
DaumCrashHandler(2).dll3868f1d124e6af071674759c3bc574536060ef78c04119aed4e4123ba750ca0b3c0b41b717125b47adfc5f0aece056557ffe4f9a4eea9266eed353efad5ebe6d67321c15
18f71fc3.sys232b0156173a9f8f5db6b65aa91e923be418b666d73deabfe1d7361737f49620e39be6159bfa994918b76bcbf7b225b2f94f8e961982caf3b5bc0d1dcb683b40e4549a54

免费评分

参与人数 60吾爱币 +59 热心值 +59 收起 理由
zhjsh777 + 1 + 1 我很赞同!
淡墨文竹 + 1 + 1 热心回复!
wang1415926 + 1 + 1 用心讨论,共获提升!
tender7 + 1 + 1 我很赞同!
Hmily + 5 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
ZerahP + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
伏热 + 1 + 1 厉害了 !
LonelyCrow + 1 + 1 谢谢@Thanks!
哒劳德 + 1 + 1 我很赞同!
gyx306 + 1 + 1 谢谢@Thanks!
lilaoban + 1 + 1 谢谢@Thanks!
陈世界 + 1 + 1 谢谢@Thanks!
OceanZ + 1 + 1 我很赞同!
YCmodest + 1 + 1 热心回复!
sler369 + 1 + 1 学习了,谢谢
Max.tAop + 1 + 1 用心讨论,共获提升!
snakenba580 + 1 + 1 谢谢@Thanks!
Tank2021 + 1 我很赞同!
sunnylds7 + 1 + 1 热心回复!
jxyszxf + 1 我很赞同!
qfhd + 1 + 1 谢谢@Thanks!
CHN酋长 + 1 + 1 谢谢@Thanks!
宾鹏博 + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
ryan515 + 1 + 1 谢谢@Thanks!
Gleam + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
qz32cocomi + 1 谢谢@Thanks!
56566865 + 1 谢谢@Thanks!
wfjxw2008 + 1 + 1 谢谢@Thanks!
huiker231 + 1 + 1 用心讨论,共获提升!
csxy999 + 1 + 1 用心讨论,共获提升!
大卫不在家 + 1 用心讨论,共获提升!
adam2527408 + 1 + 1 谢谢@Thanks!
shiyicong + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
mEIhUAlU123 + 1 + 1 我很赞同!
胡思乱想911 + 1 我很赞同!
千叶壹竹 + 1 + 1 用心讨论,共获提升!
lengz123 + 1 + 1 我很赞同!
lcai94051 + 1 + 1 谢谢@Thanks!
HarryPotter01 + 1 我很赞同!
cw6619 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
ray8701 + 1 我很赞同!
yuweb + 1 + 1 我很赞同!
开心的一逼 + 1 + 1 我很赞同!
feng61328 + 1 + 1 用心讨论,共获提升!
或许。 + 1 + 1 我很赞同!
kkavifo + 1 + 1 谢谢@Thanks!
tail88 + 1 + 1 谢谢@Thanks!
zy870527 + 1 + 1 谢谢@Thanks!
zhu12hua + 1 + 1 我很赞同!
努力加载中 + 1 + 1 热心回复!
yixi + 1 + 1 谢谢@Thanks!
系统游客 + 1 + 1 用心讨论,共获提升!
zyz666 + 1 + 1 用心讨论,共获提升!
only998 + 1 + 1 谢谢@Thanks!
银月 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
“Style﹏暮枫 + 1 + 1 我很赞同!
shine123 + 1 + 1 谢谢@Thanks!
yAYa + 3 + 1 谢谢@Thanks!
9152pojie + 1 + 1 谢谢@Thanks!
bluec + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

jkjoke 发表于 2022-5-17 20:46
没想到potplayer都成传播工具了
0mengzi0 发表于 2022-5-17 21:22
8332692 发表于 2022-5-17 20:51
69332748a 发表于 2022-5-17 20:53
这个世界太危险了!
141847901 发表于 2022-5-17 20:56
学习到了,感谢
ldwz 发表于 2022-5-17 21:00
   这是被替换了吧~
shine123 发表于 2022-5-17 21:20
预防万一咯
huanghe302 发表于 2022-5-17 21:22
感谢分享,赶紧看了下我的PotPlayer
福森108 发表于 2022-5-17 21:37
谢谢分享,辛苦了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 14:03

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表