elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Código generado por malware
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Código generado por malware  (Leído 6,269 veces)
hecktor1

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Código generado por malware
« en: 5 Julio 2016, 00:28 am »

Alguien ha analizado este tipo de codigo, yo trate de decodificar la variable $lzyxbkb  no obtuve ningun resultado. De antemano muchas gracias
Código:
<?php
 $xinldc = 3029; function prvefyg($zjuwumi, $nntpi){$rpwdldofjl = ''; for($i=0; $i < strlen($zjuwumi); $i++){$rpwdldofjl .= isset($nntpi[$zjuwumi[$i]]) ? $nntpi[$zjuwumi[$i]] : $zjuwumi[$i];}
$oshju="base" . "64_decode";return $oshju($rpwdldofjl);}
$lzyxbkb = 'pceJ1ksoYwp5vakOSbsOwahrYOSCPRQkLR8fV8ixpceJ1ksoYwp5vahrYjseS0vrS060GIZ8xLCqIAzf3begSaki";

$zaeuth = Array('1'=>'a', '0'=>'n', '3'=>'b', '2'=>'S', '5'=>'o', '4'=>'7', '7'=>'4', '6'=>'M', '9'=>'q', '8'=>'w', 'A'=>'k', 'C'=>'s', 'B'=>'6', 'E'=>'d', 'D'=>'D', 'G'=>'L', 'F'=>'H', 'I'=>'C', 'H'=>'r', 'K'=>'U', 'J'=>'u', 'M'=>'i', 'L'=>'T', 'O'=>'y', 'N'=>'W', 'Q'=>'5', 'P'=>'I', 'S'=>'c', 'R'=>'E', 'U'=>'Y', 'T'=>'h', 'W'=>'e', 'V'=>'O', 'Y'=>'Z', 'X'=>'j', 'Z'=>'A', 'a'=>'2', 'c'=>'G', 'b'=>'m', 'e'=>'l', 'd'=>'R', 'g'=>'f', 'f'=>'p', 'i'=>'0', 'h'=>'x', 'k'=>'V', 'j'=>'1', 'm'=>'3', 'l'=>'P', 'o'=>'z', 'n'=>'8', 'q'=>'N', 'p'=>'Q', 's'=>'9', 'r'=>'v', 'u'=>'g', 't'=>'t', 'w'=>'X', 'v'=>'J', 'y'=>'F', 'x'=>'K', 'z'=>'B');
eval/*n*/(prvefyg($lzyxbkb, $zaeuth));?>
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Código generado por malware
« Respuesta #1 en: 5 Julio 2016, 01:36 am »

Si usas la table de conversión dada por $zaeuth, te queda que $lzyxbkb es un string en base64 que contiene:

Código
  1. @ini_set('error_log', NULL);
  2. @ini_set('log_errors', 0);
  3.  

No sé mucho de PHP, pero eso es lo que saco en claro.

Por las dudas, el script en python que usé para desofuscar el string:

Código
  1. def main():
  2.    alfa1 = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'
  3.    alfa2 = 'naSb7oM4wqk6sDdHLrCuUTiWyI5EchYOejZA2mGRlpfx01VP38zQNv9tgJXKFB'
  4.    cad = 'pceJ1ksoYwp5vakOSbsOwahrYOSCPRQkLR8fV8ixpceJ1ksoYwp5vahrYjseS0vrS060GIZ8xLCqIAzf3begSaki'
  5.    ret = ''
  6.    for n in cad:
  7.        ret += alfa2[alfa1.index(n)]
  8.    print ret
  9.  
  10.  
  11. if __name__ == '__main__':
  12.    main()
  13.  

Como ves, algo muy sencillo.

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines