ワードプレスのマルウェア検査・セキュリティープラグインなどで検出したマルウェアファイルに含まれる\u0061 \u4e2d バックススラッシュ\u数字や \x61\xe4\xb8などのバックススラッシュ\x数字、もしくは%20%e4%b8% などのパーセント数字の文字列は何なのかや、こちらを読みやすい文字列に変換して戻す方法を解説いたします。
マルウェアファイルにバックススラッシュ\u数字 ,バックススラッシュ\x 数字 もしくはパーセント%数字の文字列 が含まれる理由
このような読めない文字列がマルウェアに含まれる理由は、ハッカーがそのマルウェアの機能や仕組みがわからないように隠す目的、もしくは検出を回避するために、マルウェアのコードを難読化処理しているからです。
バックススラッシュ\u数字 ,バックススラッシュ\x 数字 ,パーセント%数字はそれぞれユニコード、UTF8、URLデコード された文字列で、PHPのプログラム上はちゃんと実行されますが人間には何が書いてあるかわからない形になっています。
難読化されたマルウェアの解除方法
これらを読みやすく変換してくれるサイトをいくつかご紹介いたします。
1 http://php-decoder.site/
こちらのサイトでは、難読化されたPHPのコードを丸ごと解除して読みやすくしてくれます。
2 https://malwaredecoder.com/
こちらのサイトでも同様に、難読化されたPHPコードやJavascriptコードを解除してくれます。
3 https://www.branah.com/unicode-converter
こちらのサイトでは、難読化されたPHPファイル全体ではなく、前述の バックススラッシュ\u数字 ,バックススラッシュ\x 数字 ,パーセント%数字などの難読化された文字列のみを個別に解除してくれます。
難読化された、文字列部分のみを各フォームの対応する欄に入れConvertボタンを押すと、解除された文字列を最初の欄に表示してくれます。
お試しください。
