¿Cómo funciona CryptoPHP: el malware malicioso?

Apuesto a que hay un pequeño fragmento de código oculto en algún lugar que se encarga de desenfocar la carga útil real de la imagen y luego ejecutarla; que permite a los atacantes tener una pieza muy pequeña de malware que pueden ocultar fácilmente en algún lugar en un archivo PHP por lo demás no ofensivo, al tiempo que mantienen el malware grande y no tan astuto en una imagen que le permite pasar desapercibido la mayor parte del tiempo, a menos que alguien sepa qué buscar.

Para la parte de "cómo usar", encuentre una manera de incrustar el código PHP en una imagen (puede ser tan simple como un archivo PHP que se renombra a .png a algo más astuto como la esteganografía que no se notará solo por mirando la imagen mostrada), luego cree un pequeño fragmento de código que se encargue de desenfocar su carga útil real y luego ejecutarlo.

También he leído en alguna parte que los servidores web mal configurados pueden servir archivos de imagen como texto, lo que resulta en un gran desorden de caracteres Unicode cuando se visualizan en un navegador, pero lo interesante es que el código PHP en estas "imágenes" obtendrá ejecutado.

Los comentarios de texto se pueden incluir en archivos PNG, JPG y GIF. No es necesaria la esteganografía. Como ha descubierto, si se incluye la imagen (utilizando la construcción include de PHP) se ejecutará el código. Eso funciona porque PHP tiene modo de copia y modo de interpretación. Los archivos incluidos se inician en el modo de copia, por lo que el intérprete de PHP no está mirando los bits de la imagen, solo los está copiando. Cuando se encuentra <?php en los comentarios, el procesador de PHP cambia al modo de interpretación y ejecuta el código hasta que ve ?> .