Depois que você cria o seu PHP com código malicioso, é só passá-lo por este novo enconder. Algumas vezes, diga-se de passagem, e ele faz o processo de compressão deixando o seu amiguinho imune aos scans dos antivírus.
Veja a imagem abaixo do resultado do scan do php pelo site Virustotal, após ter sido encodado pelo Ultimate Encoder
O nome desta nova ferramenta é Ultimate Encoder e ela é totalmente WEB.
O interessante é que o seu desenvolvedor criará, logo, logo, uma das maiores bases de código PHP malicioso do mercado. Hehehehe
Crash
27 dez 2011A sacada do cara foi boa.
Vamos dar uma rápida analisada:
Coloquei o seguinte código:
O resultado foi:
Logo:
eval(gzinflate(base64_decode($encoded))); Evidentemente o variável $encoded foi codificada pela função base65_encode() e compactada com a função gzdeflate(), a utilização da função eval nos permite dizer que todo o nosso código foi compactado e posteriormente convertido pra base64 devido aos caracteres não imprimíveis, ou seja, a string 4+VSSVSwVVAqSS0uSVWy5uVKTc7IV1BJBLLs7RQA é o código inteiro compactado e encodado, assim as funções base64_decode() e gzinflate() fazem o processo reverso, tornando o código legível novamente para o interpretador.
Existe outras funções do php que dariam para obfuscar ainda mais a string da variável $encode, por exemplo rot13()
Ricardo Longatto
27 dez 2011Muito bom, porem passar um codigo malicioso indetectavel pelo virus total em pouco tempo ele se tornara detectavel srsr