IISerpent троянец

IISerpent Trojan е своеобразна заплаха от злонамерен софтуер, насочена към софтуера за уеб сървър на Internet Information Services на Microsoft. Заплахата се инжектира в инсталация на IIS като повредено разширение. За разлика от други заплахи за злонамерен софтуер на ISS, целта на IISerpent не е да събира чувствителна информация (номера на кредитни/дебитни карти) или да изпълнява команди от задната врата на компрометираните системи. Функционалността на IISerpent може да се опише най -добре като SEO (оптимизация за търсачки), предлагана като услуга. Заплахата използва неетични SEO техники, поведение, известно като Black Hat SEO, и се опитва да повиши класирането на страници на трети страни, най-вероятно принадлежащи на клиентите, плащащи за услугите на хакерите.

Технически подробности

IISerpent е роден IIS модул. Той се реализира като C ++ DLL и се добавя към файла %windir %\ system32 \ inetsrv \ config \ ApplicationHost.config. Това гарантира както нейното изпълнение, така и постоянство в заразената система. След като бъде напълно установен, зловредният софтуер ще започне да прихваща всички входящи HTTP заявки към уебсайтове, хоствани на сървъра. IISerpent обаче няма да засегне директно компрометирания сървър или потребителите на сървъра. Зловредният софтуер ще игнорира напълно всички искания, идващи от законни посетители. Интересува се само от заявки, свързани с търсачките и след това им показва различно съдържание, какво е на действителната страница. Новото съдържание се извлича от сървъра C&C (Command-and-Control) на операцията или от локален конфигурационен файл.

Използвани SEO техники

Търсачките за търсещи машини отговарят за претърсване на интернет и анализ на съдържанието на страниците, които намират. Сканираното от тези ботове съдържание се изпълнява чрез сложен алгоритъм, който определя класирането на всяка страница, свързано с конкретни термини за търсене. Увеличаването на ранга на вашата страница означава увеличаване на видимостта и потенциалния трафик.

За да постигнат тази цел, някои оператори на страници са готови да използват сенчести SEO тактики. IISerpent разчита на точно такива техники за подобряване на класирането на уебсайтове на трети страни чрез използване на класирането на уебсайтовете на компрометирания сървър. По -конкретно, IISerepent използва два основни метода:

1. Той пренасочва търсачките към специално избран уебсайт, превръщайки го в страница на вратата.
2. Той инжектира списък с предварително конфигурирани обратни връзки в HTTP отговора, който се доставя на роботите за търсене. Този метод ефективно превръща сървърите, компрометирани от заплахата, във ферми за свързване.

Последици от IISerpent инфекция

Вярно е, че действията на IISerpent не засягат по никакъв начин легитимните посетители на сайтовете, неговото присъствие не трябва да се приема леко. Заплахата отвлича репутацията на компрометираните уебсайтове и използва неетични SEO практики, за да измами роботите на търсачките. В крайна сметка и двете дейности ще бъдат забелязани от двигателите и могат да доведат до наказване на участващите уебсайтове, без те да са желаещи участници в схемата. След това изчистването на репутацията им и премахването на санкциите може да бъде скъп и отнема много време процес. За да избегнете такива неприятни резултати, поддържайте IIS сървърите си актуални, не изтегляйте разширения от недоказани източници и помислете за добавяне на защитна стена или решение за защита на сървъра.