门事件层出不穷 暗藏病毒对抗云安全

　　现在各种“门”事件层出不穷，上周就有爆发了一个“薛璐门”。每次门事件都有机会看到一些有趣的病毒，虽然这次门事件偶也马上得到了一个样本，不是很特别也不是很新鲜，但是，还是留个小小的记录吧。

　　具有诱惑力的门事件页面，当有人经受不住诱惑想要点击观看时，出现下面的页面，而这个页面会下载一个恶意程序。

　　1.下载安装以后主要行为

　　释放并安装BoHu高清影音，同时解压缩相应程序并且释放驱动siglow.sys，通过NDIShook的方式来阻止安全软件的云安全和升级，而且貌似还会安装一个LSP项目来挟持IE。

　　2.有趣的解压缩和神奇的反云安全

　　(1)通过uncompress将相应的文件解压缩得到可以运行的可执行程序，作者的这个动作估计是为了免杀。

　　msfsg.exe uncompress -s s0001.xml -d s.exe

　　(2)通过md5 -l 给相应程序添加随机的附加数据，以下命令可以给程序添加相应的附加数据，运行后程序大小增加9M以上，病毒作者的目的应该是为了对抗云安全样本上传。

　　msfsg.exe md5 -s s.exe -d s.exe -l 10000000

　　(3)释放驱动siglow.sys，通过NDIShook的方式来阻止安全软件的云安全和升级。