数据偷窃恶意软件伪装成微软IIS服务器模块

ZDNET安全频道 12月12日 国际新闻：Trustwave的SpiderLabs研究人员发现了一款恶意软件，此软件会收集输入Web表单的数据，并把自己伪装成微软Web托管软件Internet Information Services（IIS）的一个模块。

Trustwave恶意软件分析师Josh Grunzweig在公司的博客中写道，这款已经在多处被发现的恶意软件名为“ISN”，但是其特点很有意思。

ISN是一款恶意DLL（动态链接库），这个DLL是作为IIS的模块安装的，Grunzweig写道。ISN的安装程序包含五个版本的DLL，其中一个取决于受害者的电脑是使用32位还是64位版本的IIS 6或IIS7+。

“这个模块引起了特别的担忧，因为目前几乎所有的反病毒产品都无法检测到它，”Grunzweig称。

ISN安装程序通常是通过 “常用试探测试”时被检测出来，Grunzweig写道，这意味着安全软件察觉到了它的可疑，并将其标记出来，比如，它正向另一个服务器发送数据。

“我想通过这篇帖子提醒反病毒厂商，这样或许能出现专为这种恶意软件编写的检测程序了，”他写道并补充说，他认为该恶意软件非常“干净”。

ISN从POST请求那里收集数据，Grunzweig写道。被盗的信息从IIS本身发出，它绕过了加密，继而被发送出去。可把这个恶意模块配置成监控来自特定URI（统一资源识别器）的信息，他写道。

该恶意软件目前“已经看到了电子商务网站上的锁定目标的信用卡数据，但是不法分子还可以用它窃据登录凭据，或其他发送给已遭破解IIS实例的敏感信息。”他写道。

“总的来说，该恶意软件不会得到广泛传播，而且只在少量司法案例中发现，”Grunzaweig写道。“但是，极低的检测率使其成为一种实实在在的威胁。”