警惕！传奇私服RootKit使用PotPlayer白加黑进行传播

特别鸣谢：感谢卡饭论坛落华无痕的帮助

今日，在远程帮助一位用户解决RootKit问题时，发现360急救箱与火绒恶性木马专杀工具始终处理干净该RootKit（指重启后病毒仍然存在），如下图所示：

通过ARK工具得到病毒驱动的注册表路径为HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\798cc6c9，但是无法打开，尝试进PE内清除病毒，如下图所示：

但是在PE内删除驱动文件和驱动注册表之后，重启后病毒仍然存在，如下图所示：

经过PE内一番排查，落华无痕在PE内采用了“提前占坑”的方法，发现重启后病毒驱动并未再次出现

而后续将“占坑文件”再次删除后，病毒驱动则再次出现

以上种种迹象表明病毒驱动可能是系统内的别的其他的程序创建的

于是，再次将病毒驱动删除后，成功通过火绒自定义规则找到罪魁祸首——PotPlayer

PotPlayer使用计划任务实现自启动，如下图所示：

将PotPlayer提取后，360高风险提醒了一个dll：

VirusTotal第一次上传，部分厂商报毒该dll会修改代{过}{滤}理设置，如下图所示：

后续经过测试成功通过该白加黑PotPlayer复现加驱，如下图所示：

Iocs：