ASP木马后门的作用

它是用ASP编写的网站程序。它和其它ASP程序没有本质区别，只要是能运行ASP的空间就能运行它，这种性质使得ASP木马非常不易被发觉。就算是优秀的杀毒软件，也未必能够检测出它到底是ASP木马还是正常的ASP网站程序。 它主要用来远程入侵ASP网站,篡改网页,入侵数据库,进行修改删除数据等恶意 *** 作,有时候还能造成该网站所在的电脑中毒,运行缓慢,死机,数据丢失等副作用

记得采纳啊

通常的asp木马后门是由于程序本身对于上传的限制不够严格引起的。

建议：

1、上传的地方除了判断文件的扩展名，还要判断文件的ContentType来严格限制

2、网站目录的权限设置，最好能够限制网站目录的写入权限，只有需要写入权限的文件夹（通常是数据库目录和上传文件夹）才赋予写入权限，其他的文件夹都取消写入权限。

3、iis安全设置，对于上传的文件夹，设置IIS的执行权限为无，即使上传了木马，也无法执行脚本。

由于该木马病毒容易造成网络阻塞，需要引起大家的注意，提前预防:

1、及时安装系统漏洞补丁程序；

2、及时更新最新病毒代码；

3、不要随意点击打开QQ 、MSN 等聊天工具上发来的地址链接或是其他数据信息，更不要随意打开或运行陌生、可疑的文件和程序；

4、管理员帐户的密码设置复杂一点；

5、关闭一些不需要的网络服务，关闭不必要的网络共享(若不使用远程登陆等功能包括Admin$,c$，d$..也应该关闭）

6、一旦出现网络异常，比如网络中断通讯、通讯速度慢等情况，请网络部门配合查看交换机是否有MAC地址冲突信息，便于定位病毒源机器.

首先拔掉机器网线，然后根据以下步骤查找：

1）在机器内搜索类似1.com,explorer.com，iexplore.com等程序。

2）在注册表中搜索类似downloadwww数据项，若有把下载网址删除掉。

3）根据注册表启动项内容，确定可疑执行程序:

HKEY¬¬_LOCAL_MACINE/software/Microsoft/windows/currentversion/run

查找可疑程序启动项，重点关注%windows%/system32目录的程序

HKEY_LOCAL_MACINE/software/Microsoft/windownt/currentversion/winlogon/userinit

HKEY_LOCAL_MACINE/software/Microsoft/windows/currentversion/explorer/shellexecutehooks\

若发现{AEB6717E-7E19-11d0-97EE-00C04FD91972}以外的内容，就需要根据键值查找可疑的程序。

4）根据病毒发作的时间在

%window%/system32、%window%/system、C:\Documents and Settings\用户名\Local Settings\Temp等目录下查找后缀为.dll、.ocx、.exe等修改时间在病毒发作日期的程序。比如：rundl132.exe、logo_1.exe、rundl132.dll,windhcp.ocx、等，同时清除C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files下的文件。

根据上述第以上步骤发现的可疑程序位置，找到相应的程序，若确认是病毒程序就删除掉，或者临时更改程序名称。

---