Trustwave的SpiderLabs研究人員發(fā)現(xiàn)了一款惡意軟件，此軟件會(huì)收集輸入Web表單的數(shù)據(jù)，并把自己偽裝成微軟Web托管軟件Internet Information Services(IIS)的一個(gè)模塊。

Trustwave惡意軟件分析師Josh Grunzweig在公司的博客中寫道，這款已經(jīng)在多處被發(fā)現(xiàn)的惡意軟件名為“ISN”，但是其特點(diǎn)很有意思。

ISN是一款惡意DLL(動(dòng)態(tài)鏈接庫(kù))，這個(gè)DLL是作為IIS的模塊安裝的，Grunzweig寫道。ISN的安裝程序包含五個(gè)版本的DLL，其中一個(gè)取決于受害者的電腦是使用32位還是64位版本的IIS 6或IIS7+。

“這個(gè)模塊引起了特別的擔(dān)憂，因?yàn)槟壳皫缀跛械姆床《井a(chǎn)品都無(wú)法檢測(cè)到它，”Grunzweig稱。

ISN安裝程序通常是通過(guò) “常用試探測(cè)試”時(shí)被檢測(cè)出來(lái)，Grunzweig寫道，這意味著安全軟件察覺(jué)到了它的可疑，并將其標(biāo)記出來(lái)，比如，它正向另一個(gè)服務(wù)器發(fā)送數(shù)據(jù)。

“我想通過(guò)這篇帖子提醒反病毒廠商，這樣或許能出現(xiàn)專為這種惡意軟件編寫的檢測(cè)程序了，”他寫道并補(bǔ)充說(shuō)，他認(rèn)為該惡意軟件非常“干凈”。

ISN從POST請(qǐng)求那里收集數(shù)據(jù)，Grunzweig寫道。被盜的信息從IIS本身發(fā)出，它繞過(guò)了加密，繼而被發(fā)送出去。可把這個(gè)惡意模塊配置成監(jiān)控來(lái)自特定URI(統(tǒng)一資源識(shí)別器)的信息，他寫道。

該惡意軟件目前“已經(jīng)看到了電子商務(wù)網(wǎng)站上的鎖定目標(biāo)的信用卡數(shù)據(jù)，但是不法分子還可以用它竊據(jù)登錄憑據(jù)，或其他發(fā)送給已遭破解IIS實(shí)例的敏感信息。”他寫道。

“總的來(lái)說(shuō)，該惡意軟件不會(huì)得到廣泛傳播，而且只在少量司法案例中發(fā)現(xiàn)，”Grunzaweig寫道。“但是，極低的檢測(cè)率使其成為一種實(shí)實(shí)在在的威脅。”