10秒后自動(dòng)關(guān)閉
什么是ASP加密木馬

1、什么是ASP加密木馬?

    所謂的ASP加密木馬,簡(jiǎn)單而言就是采用 VBScript.Encode 進(jìn)行加密的木馬,這種木馬是經(jīng)過(guò)加密的,若要分析其中的內(nèi)容,需要先將其解密。

    絕大多數(shù)正常ASP程序都不會(huì)對(duì)代碼進(jìn)行加密,而絕大多數(shù)ASP木馬都會(huì)進(jìn)行加密。

    這種木馬在打開(kāi)的時(shí)候一般都需要輸入一個(gè)密碼,然后就可以對(duì)目標(biāo)站文件進(jìn)行刪除、移動(dòng)、下載到本地,對(duì)網(wǎng)站進(jìn)行批量掛馬等,乃至服務(wù)器磁盤(pán)進(jìn)行包括修改、刪除文件等任意操作,如下圖:

ASP加密木馬操作功能

圖1 ASP木馬運(yùn)行后的操作功能圖

 

2、ASP加密木馬有什么特征?

    一般ASP加密木馬前,都有 < %@ LANGUAGE = VBScript.Encode % >字符串,表示該ASP文件是經(jīng)過(guò)VBScript.Encode加密過(guò)的,告訴IIS解釋的時(shí)候需要解密才能執(zhí)行。

    木馬樣圖:

ASP加密木馬樣圖

圖2 ASP加密木馬文件分析

 

3、ASP加密木馬通過(guò)何種方式上傳到網(wǎng)站?

    一般這種木馬可以通過(guò)以下方式上傳到網(wǎng)站里:

    (1)通過(guò)FTP:有些FTP密碼過(guò)于簡(jiǎn)單,容易被猜中或者密碼被泄漏,黑客就通過(guò)這種方式隨意上傳木馬;

    (2)通過(guò)網(wǎng)站程序漏洞:部分網(wǎng)站沒(méi)有經(jīng)過(guò)嚴(yán)格的上傳驗(yàn)證,有的只是簡(jiǎn)單的驗(yàn)證了允許文件上傳的擴(kuò)展名,這樣的驗(yàn)證,對(duì)上傳木馬的黑客形同虛設(shè);

    (3)其他方式,比如黑客在服務(wù)器留下的后門(mén),可以隨時(shí)控制服務(wù)器,隨時(shí)上傳木馬。等。。

 

4、如何防范ASP加密木馬?

    (1)建議使用護(hù)衛(wèi)神病毒查殺。手動(dòng)查殺,能夠準(zhǔn)確、直觀掃描出病毒文件,一般在護(hù)衛(wèi)神第一次安裝之后手動(dòng)掃描一次;

    (2)護(hù)衛(wèi)神實(shí)時(shí)監(jiān)控,能在黑客通過(guò)任何方式,上傳木馬,都能實(shí)時(shí)監(jiān)控并處理木馬文件,保障網(wǎng)站和服務(wù)器的安全。

    護(hù)衛(wèi)神手動(dòng)掃描截圖:

護(hù)衛(wèi)神 手工掃描網(wǎng)站木馬

圖3 使用護(hù)衛(wèi)神進(jìn)行手動(dòng)木馬掃描