1、什么是ASP加密木馬？

    所謂的ASP加密木馬，簡(jiǎn)單而言就是采用 VBScript.Encode 進(jìn)行加密的木馬，這種木馬是經(jīng)過(guò)加密的，若要分析其中的內(nèi)容，需要先將其解密。

    絕大多數(shù)正常ASP程序都不會(huì)對(duì)代碼進(jìn)行加密，而絕大多數(shù)ASP木馬都會(huì)進(jìn)行加密。

    這種木馬在打開(kāi)的時(shí)候一般都需要輸入一個(gè)密碼，然后就可以對(duì)目標(biāo)站文件進(jìn)行刪除、移動(dòng)、下載到本地，對(duì)網(wǎng)站進(jìn)行批量掛馬等，乃至服務(wù)器磁盤(pán)進(jìn)行包括修改、刪除文件等任意操作，如下圖：

圖1 ASP木馬運(yùn)行后的操作功能圖

2、ASP加密木馬有什么特征？

    一般ASP加密木馬前，都有 < %@ LANGUAGE = VBScript.Encode % >字符串，表示該ASP文件是經(jīng)過(guò)VBScript.Encode加密過(guò)的，告訴IIS解釋的時(shí)候需要解密才能執(zhí)行。

    木馬樣圖：

圖2 ASP加密木馬文件分析

3、ASP加密木馬通過(guò)何種方式上傳到網(wǎng)站？

    一般這種木馬可以通過(guò)以下方式上傳到網(wǎng)站里：

    （1）通過(guò)FTP：有些FTP密碼過(guò)于簡(jiǎn)單，容易被猜中或者密碼被泄漏，黑客就通過(guò)這種方式隨意上傳木馬；

    （2）通過(guò)網(wǎng)站程序漏洞：部分網(wǎng)站沒(méi)有經(jīng)過(guò)嚴(yán)格的上傳驗(yàn)證，有的只是簡(jiǎn)單的驗(yàn)證了允許文件上傳的擴(kuò)展名，這樣的驗(yàn)證，對(duì)上傳木馬的黑客形同虛設(shè)；

    （3）其他方式，比如黑客在服務(wù)器留下的后門(mén)，可以隨時(shí)控制服務(wù)器，隨時(shí)上傳木馬。等。。

4、如何防范ASP加密木馬？

    （1）建議使用護(hù)衛(wèi)神病毒查殺。手動(dòng)查殺，能夠準(zhǔn)確、直觀掃描出病毒文件，一般在護(hù)衛(wèi)神第一次安裝之后手動(dòng)掃描一次；

    （2）護(hù)衛(wèi)神實(shí)時(shí)監(jiān)控，能在黑客通過(guò)任何方式，上傳木馬，都能實(shí)時(shí)監(jiān)控并處理木馬文件，保障網(wǎng)站和服務(wù)器的安全。

    護(hù)衛(wèi)神手動(dòng)掃描截圖：

圖3 使用護(hù)衛(wèi)神進(jìn)行手動(dòng)木馬掃描