Recentemente un mio amico ha scoperto e mi ha inviato una piccola raccolta di script trojan che sono stati caricati sulla sua macchina. Ecco un esempio:
eval(gzinflate(str_rot13(base64_decode('huge-string'))));
die;
Perché gli aggressori si preoccupano di fare tutto questo? Qualsiasi sviluppatore può banalmente invertire questi passaggi per vedere il codice sorgente.
L'unica ragione che posso immaginare è un tentativo di impedire il rilevamento dell'antivirus contro una base di codice esistente (base64 () lo script, hai un "nuovo" virus, almeno per pochi minuti).
Questo vettore è in gran parte mitigato con successo da elementi come il rilevamento del virus euristico, che guarda precisamente a frammenti di origine sospetti come questo.