1、什么是ASP加密木马?
所谓的ASP加密木马,简单而言就是采用 VBScript.Encode 进行加密的木马,这种木马是经过加密的,若要分析其中的内容,需要先将其解密。
绝大多数正常ASP程序都不会对代码进行加密,而绝大多数ASP木马都会进行加密。
这种木马在打开的时候一般都需要输入一个密码,然后就可以对目标站文件进行删除、移动、下载到本地,对网站进行批量挂马等,乃至服务器磁盘进行包括修改、删除文件等任意操作,如下图:
图1 ASP木马运行后的操作功能图
2、ASP加密木马有什么特征?
一般ASP加密木马前,都有 < %@ LANGUAGE = VBScript.Encode % >字符串,表示该ASP文件是经过VBScript.Encode加密过的,告诉IIS解释的时候需要解密才能执行。
木马样图:
图2 ASP加密木马文件分析
3、ASP加密木马通过何种方式上传到网站?
一般这种木马可以通过以下方式上传到网站里:
(1)通过FTP:有些FTP密码过于简单,容易被猜中或者密码被泄漏,黑客就通过这种方式随意上传木马;
(2)通过网站程序漏洞:部分网站没有经过严格的上传验证,有的只是简单的验证了允许文件上传的扩展名,这样的验证,对上传木马的黑客形同虚设;
(3)其他方式,比如黑客在服务器留下的后门,可以随时控制服务器,随时上传木马。等。。
4、如何防范ASP加密木马?
(1)建议使用护卫神病毒查杀。手动查杀,能够准确、直观扫描出病毒文件,一般在护卫神第一次安装之后手动扫描一次;
(2)护卫神实时监控,能在黑客通过任何方式,上传木马,都能实时监控并处理木马文件,保障网站和服务器的安全。
护卫神手动扫描截图:
图3 使用护卫神进行手动木马扫描