IISerpentトロイの木馬

IISerpentトロイの木馬は、MicrosoftのインターネットインフォメーションサービスWebサーバーソフトウェアを標的とする独特のマルウェアの脅威です。脅威は、破損した拡張機能としてIISインストールに注入されます。他のISSマルウェアの脅威とは異なり、IISerpentの目的は、機密情報（クレジット/デビットカード番号）を収集したり、侵害されたシステムでバックドアコマンドを実行したりすることではありません。 IISerpentの機能は、サービスとして提供されるSEO（検索エンジン最適化）詐欺として最もよく説明できます。この脅威は、非倫理的なSEO技術、Black Hat SEOとして知られる動作を採用し、ハッカーのサービスにお金を払っているクライアントに属する可能性が高いサードパーティのページのランキングを上げようとします。

技術的な詳細

IISerpentはネイティブIISモジュールです。これはC ++ DLLとして実装され、 ％windir％\ system32 \ inetsrv \ config \ ApplicationHost.configファイルに追加されます。そうすることで、感染したシステムでの実行と永続性の両方が保証されます。完全に確立されると、マルウェアはサーバーでホストされているWebサイトへのすべての着信HTTP要求を傍受し始めます。ただし、IISerpentは、侵害されたサーバーまたはサーバーのユーザーに直接影響を与えることはありません。マルウェアは、正当な訪問者からのリクエストを完全に無視します。検索エンジンのクローラーに関連付けられたリクエストにのみ関心があり、実際のページにあるものとは異なるコンテンツを表示します。新しいコンテンツは、操作のC＆C（コマンドアンドコントロール）サーバーまたはローカル構成ファイルのいずれかからフェッチされます。

採用されたSEO技術

検索エンジンのクローラーは、インターネットを精査し、見つけたページのコンテンツを分析する責任があります。これらのボットによってスキャンされたコンテンツは、特定の検索用語に関連する各ページのランキングを決定する複雑なアルゴリズムを介して実行されます。ページのランクを上げることは、可視性と潜在的なトラフィックの増加を意味します。

この目標を達成するために、一部のページオペレーターは、怪しげなSEO戦術を採用する用意があります。 IISerpentは、侵害されたサーバー上のWebサイトのランキングを悪用することにより、サードパーティのWebサイトのランキングを改善するためにまさにそのような手法に依存しています。より具体的には、IISerepentは2つのコアメソッドを使用します。

1. 検索エンジンを特別に選択されたWebサイトにリダイレクトし、誘導ページに変えます。
2. 事前設定されたバックリンクのリストを、検索エンジンのクローラーに配信されるHTTP応答に挿入します。この方法は、脅威によって危険にさらされたサーバーを効果的にリンクファームに変えます。

IISerpent感染の結果

IISerpentのアクションがサイトへの正当な訪問者にまったく影響を与えないことは事実ですが、その存在を軽視すべきではありません。この脅威は、侵害されたWebサイトの評判を乗っ取り、非倫理的なSEO手法を使用して検索エンジンクローラーをだまします。どちらのアクティビティも、最終的にはエンジンによって認識され、スキームに積極的に参加しなくても、関連するWebサイトにペナルティが科せられる可能性があります。その後、彼らの評判をクリアし、ペナルティを取り除くことは、費用と非常に時間のかかるプロセスになる可能性があります。このような不快な結果を回避するには、IISサーバーを最新の状態に保ち、証明されていないソースから拡張機能をダウンロードせず、サーバーにファイアウォールアプリケーションまたはセキュリティソリューションを追加することを検討してください。