Autor
Su uso es simple, es necesario pasarle 2 parámetros, fichero de entrada y fichero de salida
Imagen 1: Ejecución carbylamine
Al comparar el código de los dos ficheros se puede ver un gran cambio
Imagen 2: Comparación c99 Ofuscada y sin Ofuscar
Y al analizarlos no se detecta como código malicioso.
Imagen 3: Análisis de Avira
Así de sencillo se logra burlar al antivirus y es que no es Avira el único caso, es más desde mi punto de vista Avira es uno de los mejores antivirus que existe hoy en día y es que volviendo a criticar lo que se habló en el anterior post del método de detección por firmas que tan ineficaz es y aún más si estas empresas no invierten trabajo en añadir firmas a herramientas tan conocidas como puede ser la c99 ofuscada sin previas modificaciones con los típicos métodos de ofuscación.
Imagen 4: Análisis en Virustotal - detección 0/47
Y es que son muchos los que se inician en el mundo del defacement y sin más suben una web shell ofuscada que se han bajado de la primera página de los resultados de google.
Imagen 5: Búsqueda en google c99 webshell
Muchos webmasters se alertarían si su antivirus la hubiese detectado
Conclusión
Me gustaría proponerle una idea y que llegase a los oídos de estas empresas antivirus.
Porqué no advierten los antivirus cuando en un directorio web se encuentra un fichero que hace llamadas a determinadas funciones como gzinflate, base64_decode, etc y si esta al tanto, el administrador la añada como excepción. ¿Se les ocurre algún CMS que ofusque su código fuente como lo hace carbylamine?.
Fuente: http://code-disaster.blogspot.com/
En línea
