10秒后自动关闭
什么是ASP加密木马

1、什么是ASP加密木马?

    所谓的ASP加密木马,简单而言就是采用 VBScript.Encode 进行加密的木马,这种木马是经过加密的,若要分析其中的内容,需要先将其解密。

    绝大多数正常ASP程序都不会对代码进行加密,而绝大多数ASP木马都会进行加密。

    这种木马在打开的时候一般都需要输入一个密码,然后就可以对目标站文件进行删除、移动、下载到本地,对网站进行批量挂马等,乃至服务器磁盘进行包括修改、删除文件等任意操作,如下图:

ASP加密木马操作功能

图1 ASP木马运行后的操作功能图

 

2、ASP加密木马有什么特征?

    一般ASP加密木马前,都有 < %@ LANGUAGE = VBScript.Encode % >字符串,表示该ASP文件是经过VBScript.Encode加密过的,告诉IIS解释的时候需要解密才能执行。

    木马样图:

ASP加密木马样图

图2 ASP加密木马文件分析

 

3、ASP加密木马通过何种方式上传到网站?

    一般这种木马可以通过以下方式上传到网站里:

    (1)通过FTP:有些FTP密码过于简单,容易被猜中或者密码被泄漏,黑客就通过这种方式随意上传木马;

    (2)通过网站程序漏洞:部分网站没有经过严格的上传验证,有的只是简单的验证了允许文件上传的扩展名,这样的验证,对上传木马的黑客形同虚设;

    (3)其他方式,比如黑客在服务器留下的后门,可以随时控制服务器,随时上传木马。等。。

 

4、如何防范ASP加密木马?

    (1)建议使用护卫神病毒查杀。手动查杀,能够准确、直观扫描出病毒文件,一般在护卫神第一次安装之后手动扫描一次;

    (2)护卫神实时监控,能在黑客通过任何方式,上传木马,都能实时监控并处理木马文件,保障网站和服务器的安全。

    护卫神手动扫描截图:

护卫神 手工扫描网站木马

图3 使用护卫神进行手动木马扫描