Bem, há coisas muito interessantes na expressão Regular, que expressões regulares são gananciosas.
Mesmo que eles consigam a partida no início da sentença, eles continuarão procurando e irão para a última partida disponível na sentença. No seu caso, ele está combinando com "referrer.com/default.aspx", porque você tem uma expressão regular para corresponder a .asp e também corresponderá a qualquer coisa com .asp *.
Então, você precisa ser muito específico ao trabalhar com expressões regulares.
Para isso, você deve tentar isto:
failregex = ^<HOST> -.*GET.*(\.asp|\.exe|\.pl|\.cgi|\scgi)\"\s\d*
Algo como isso deve funcionar muito bem. Se, de qualquer forma, isso não funcionar, agora você sabe qual é o problema, e tenho certeza de que você pode consertar isso com um pouco de expressão regular.
Espero que isso tenha ajudado.