今日，本人在一受害者机器捕获到一Rootkit病毒

驱动病毒数字签名如下图所示：

火绒日志：
病毒名称：Trojan/Generic!59988760580B1A3C
病毒ID：59988760580B1A3C
病毒路径：C:\Windows\System32\drivers\501c54b0.sys
操作类型：修改
操作结果：已处理

进程ID：4
操作进程：System
父进程：Idle

目前已知的主要症状为火绒能够反复扫描到病毒驱动，专杀无法检出病毒驱动

经过对其火绒日志的查阅，我们可以发现，火绒不仅是“文件实时监控”模块监测到了病毒驱动的释放，而且“WEB扫描”模块监测到了病毒驱动的下载行为。那就跟好办了，也就是说火绒捕获到了下载命令行和下载URL。相关信息，如下图所示：

我们发现，病毒驱动的下载URL为“hxxp://103.107.191.185:2247/driverfile/2H72WFlov1Q.sys”

经过查阅“奇安信威胁情报中心”威胁情报，我们查阅到了以下URL：

（1）于是我们访问hxxp://103.107.191.185:2247/api/drive_config/drivedownloadfilelist，如下图所示：

{"data":{"filelist":[[{"number":"1","name":"SysName.sys","switch":"1","server":"ChaPox2","tag":"1","acc":"","altitude":"370024","serverDownloadFileName":"1k0ucWGxIQn.sys","serverDownloadFileMd5":"6E730CF4EBCD166D26414378CAB3A6D8"},{"number":"2","name":"SysNameUp.sys","switch":"1","server":"UpPox","tag":"2","acc":"","altitude":"370025","serverDownloadFileName":"2H72WFlov1Q.sys","serverDownloadFileMd5":"1152ECE24C2A1CDF14FD17B7314A2539"}]]},"message":"","success":"1"}

（2）我们发现“drive_config/drivedownloadfilelist”里面只有两个驱动
但是仔细观察威胁情报信息，细心的你有没有发现
http://103.107.191.185/api/safe/checkdownloadfile?filelist=[{"name":"fivesys_1.sys","md5":"e9a786a47d0b8df1fdfe691e609cb78e"}]
和
http://103.107.191.185/api/popup/fivedrivecheckdownloadfile?filelist=[{"name":"sysname.sys","md5":"f8ccabcbe08bbd2c8420f4d1cffcefd8"}]

本人并未找到f8ccabcbe08bbd2c8420f4d1cffcefd8的相关样本
但是通过对e9a786a47d0b8df1fdfe691e609cb78e的查询，我们发现这是一个2021年（3个月之前）的WHQL Rootkit，如下图所示：

至此，本篇分析溯源暂时好一段落

Ioc：
103.107.191.185
1152ECE24C2A1CDF14FD17B7314A2539
6E730CF4EBCD166D26414378CAB3A6D8
f8ccabcbe08bbd2c8420f4d1cffcefd8
e9a786a47d0b8df1fdfe691e609cb78e

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法