IISerpent Trojan

IISerpent Trojan är ett märkligt hot mot skadlig kod som riktar sig till Microsofts Internet Information Services webbserverprogramvara. Hotet injiceras i en IIS -installation som en skadad tillägg. Till skillnad från andra ISS -hot mot skadlig kod är målet med IISerpent inte att samla in känslig information (kredit-/betalkortnummer) eller utföra bakdörrkommandon på de komprometterade systemen. IISerpents funktionalitet kan bäst beskrivas som ett SEO -bedrägeri (sökmotoroptimering) som erbjuds som en tjänst. Hotet använder oetiska SEO-tekniker, ett beteende som kallas Black Hat SEO, och försöker öka rankingen av tredjepartssidor, som sannolikt tillhör klienterna som betalar för hackertjänsterna.

Tekniska detaljer

IISerpent är en inbyggd IIS -modul. Den implementeras som en C ++ DLL och läggs till i filen %windir %\ system32 \ inetsrv \ config \ ApplicationHost.config . Detta säkerställer både dess körning och uthållighet på det infekterade systemet. När den är fullständigt etablerad kommer skadlig program att börja fånga upp alla inkommande HTTP -förfrågningar till webbplatser som finns på servern. IISerpent påverkar dock inte den komprometterade servern eller serverns användare direkt. Skadlig programvara ignorerar alla förfrågningar som kommer från legitima besökare helt. Den är bara intresserad av förfrågningar som är associerade med sökmotors sökrobotar och visar sedan dem olika innehåll vad som finns på den faktiska sidan. Det nya innehållet hämtas från antingen C&C (Command-and-Control) -servern för operationen eller en lokal konfigurationsfil.

Anställd SEO -teknik

Sökmotorns sökrobotar ansvarar för att skura internet och analysera innehållet på sidorna de hittar. Innehållet som skannas av dessa bots körs genom en komplex algoritm som bestämmer rankningen av varje sida relaterad till specifika söktermer. Att öka din sidas rang innebär en ökning av synligheten och potentiell trafik.

För att uppnå detta mål är vissa sidoperatörer villiga att använda skumma SEO -taktiker. IISerpent förlitar sig på exakt sådana tekniker för att förbättra rankningen av tredjepartswebbplatser genom att utnyttja rankingen på webbplatserna på den komprometterade servern. Mer specifikt använder IISerepent två kärnmetoder:

1. Det omdirigerar sökmotorerna till en specifikt vald webbplats och gör den till en dörröppningssida.
2. Den injicerar en lista med förkonfigurerade bakåtlänkar i HTTP -svaret som levereras till sökmotorns sökrobotar. Denna metod förvandlar effektivt de servrar som äventyras av hotet till länkfarmar.

Konsekvenser av IISerpent -infektion

Även om det är sant att IISerpents handlingar inte påverkar de legitima besökarna på webbplatserna på något sätt, bör dess närvaro inte tas lätt på. Hotet kapar rykte för de komprometterade webbplatserna och använder oetiska SEO -metoder för att lura sökmotors sökrobotar. Båda aktiviteterna kommer så småningom att märkas av motorerna och kan leda till att de berörda webbplatserna straffas utan att de är villiga deltagare i programmet. Efteråt kan det bli en kostsam och extremt tidskrävande process att rensa upp sitt rykte och ta bort påföljderna. För att undvika sådana obehagliga resultat, håll dina IIS-servrar uppdaterade, ladda inte ner tillägg från obevisade källor och överväg att lägga till en brandväggsprogram eller en säkerhetslösning på servern.