Trustwave公司的SpiderLabs研究人员发现了一个恶意软件,它可以收集输入到基于web的表单中的数据,伪装成微软互联网信息服务(IIS)网络托管软件的一个模块。
Trustwave恶意软件研究人员乔希•格伦茨威格(Josh Grunzweig)在对一家公司的采访中写道,这种名为“ISN”的恶意软件还没有被广泛使用,但它的特点很有趣博客。
ISN是一个恶意的DLL(动态链接库),它被安装为IIS的一个模块,Grunzweig写道。ISN的安装程序包含四个版本的DLL,其中一个是提供取决于受害者是否使用32位或64位版本的IIS6或IIS7+。
Grunzweig写道:“这个模块特别值得关注,因为目前几乎所有的杀毒产品都无法检测到它。”
Grunzweig写道,如果ISN' t的安装程序被检测到,它通常是通过“一般启发式检测”,这意味着安全软件会查看it的可疑方面,并标记它,比如它是否在向另一个服务器发送数据。
他写道:“我用这篇帖子来通知杀毒软件供应商,以便对这种恶意软件进行专门的检测。”他还说,他认为这种恶意软件“非常简洁”。
ISN从POST请求中收集数据,Grunzweig写道。被窃取的信息会从IIS内部被窃取,从而绕过加密,然后发送到其他地方。他写道,可以将恶意模块配置为监控来自特定uri(统一资源标识符)的信息。
他写道,到目前为止,该恶意软件“被发现目标是电子商务网站的信用卡数据,然而,它也可以用来窃取登录信息,或发送到受危害的IIS实例的任何其他敏感信息。”
格伦茨威格写道:“总体而言,这种恶意软件似乎并没有广泛传播,只在一些法庭案例中出现过。”“然而,极低的检测率加上恶意软件的目标功能,使它成为一个非常现实的威胁。”
发送新闻提示和评论到jeremy_kirk@idg.com。在Twitter上关注我:@jeremy_kirk