扼杀asp木马---禁用ADODB.STREAM的讨论

韩冰

编者注：本文自幻影旅团转载而来，希望不会侵犯到版权：）

问：

我看有很多网页木马用到了这个用来列举出文件目录,有的ASP木马是用CLASSID来创建脚本对象的, W0 U+ Y# Z& A$ S4 D% b, E7 v7 K, K8 f懂的朋友麻烦说说怎么禁掉这个对象,如果可以禁这个脚本对象应该就可以完全的阻止ASP木马了吧, 像SHELL执行已经禁掉了.

答：

１．根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 6 V" R% k! q, g# d: G& E; E我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 & C' M5 `/ u4 O2 S% `+ b + ^0 u7 Z4 |2 O# w再根据HKEY_CLASSES_ROOT\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32的值，找到这个ActiveX对应的dll。 ) O. S2 _/ ^% R* A) T+ X! c6 _我的XP上是C:\Program Files\Common Files\System\ado\msado15.dll " j! o7 j! T2 O0 I4 U' D3 q: z, V & A) ?* ]5 _1 _' F' X然后regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" 于是就把ADODB.STREAM给卸载了。

* ~+ U. p( ^5 l7 g+ U6 h4 ~. t4 V, r

２．查查ADODB.STREAM 用来干什么的~~~呵呵

３．最简单的办法 ：去金山网站 找那个ADODB软件 把它卸载了！

４．

引用:

# J7 v) T' l4 _( M

2 @) u; ?. N" j% ]最初由 zzzevazzz 发布 $ S( c' {: b- |$ S4 n/ A/ I根据HKEY_CLASSES_ROOT\ADODB.Stream\CLSID的值获得CLASSID， 我的XP上是{00000566-0000-0010-8000-00AA006D2EA4}，每台主机上应该都一样。 再根据HKEY_CLASSES_ROOT\C.. 以下省略......

$ y6 h2 B) n% x, L

& t j, j3 I- ]# [3 a+ X 你的方法显然是可行的,但这样会把整个ado都卸载了(估计会这样). . i9 m8 Y! m: k- ?$ i" v! z如果本机还有一些ado的应用,那么可能会出问题啊 5 `. ]" n$ j$ r- i$ ^- a- I : a' U+ U" B! u) q% j4 x直接删除了 HKEY_CLASSES_ROOT\ADODB.Stream\CLSID 应该就ok了吧???? ' K) f2 j: H+ t7 I那个dll还是保留好一点

! F n& q/ L9 q: J ~9 F2 {

５．只要asp可用 asp木马就会存在 你认为删除了就 有用吗 我觉得并非如此

６．

卸载了ADO 或者把adodb.stream改名 ' g0 H4 ?* n: _! { 都不是好办法 因噎废食的作法 没有了ADO ASP还剩下什么呢，还能作什么应用呢？

! L, W2 h6 i; w% j( N

７．打IE的补丁

6 {8 h5 q: ~9 O! d* m6 h1 _

８．ASP木马在服务器上运行的跟打IE补丁有什么关系呢? ASP木马用到了FSO,ADODB.STREAM,还有一个DICTIONARY的脚本对象,我想最主要的还是前两个没了前两个对象难道ASP木马还有办法运行起来吗?

. g6 m& u6 ]& @7 @* c

９．由于ADODB.STREAM有很多问题，微软在今年6月份出了个补丁，把ADODB.STREAM给禁用了，这个补丁好像就是修改了注册表。

& w; n5 P* M& H6 Z$ [6 p

１０．禁用了？？ : w9 b5 J1 n6 `+ }3 } h% ]; t( ?我的2000sp4，xp sp1，xp sp2都可以用adodb.stream。 1 t& ]. ~: ]5 t, Z可能只是不让IE调用吧，即使安全级别降低。

# _& w& U! k _: p1 N