多数防毒产品免杀-恶意软件伪装成IIS模块加载 (多数防毒产品是什么)

1、摘要

最近，国外安全公司发现了一些以DLL动态链接库形式存在的IIS模块存在恶意风险，这些恶意模块之所以受关注，很大原因是因为它们能躲过目前几乎所有的反病毒产品，攻击者借助这些模块发送恶意POST数据包，并遵循恰当的机制以此来获得敏感信息。

这种恶意程序的目标不仅仅局限于银行、电子商务网站的加密数据，同时还被用来获取例如登录账户及其他被发送到IIS实例上的数据(HTTP Header、MS-Chap令牌等)。同时要注意的是，这次发现的恶意软件漏洞和之前报告的恶意软件”Pony”没有任何关系。Pony主要针对的是终端用户，而这个IIS Module恶意程序主要是针对Web Server的。以下为报告译文：

下面是这次发现的恶意程序在各大反病毒引擎上的检查结果:

事实证明，我所引用的这个DLL是一个IIS的原生安装模块，我想也该是时候对这种恶意程序进行一个总结了，之所以这么做，有以下2个原因:

a)在我写这篇文章的时候，大部分的反病毒软件都不会IIS目录下的DLL模块进行必要的检查(通过设置白名单等)，这导致了IIS的重要模块被替换后无法被杀毒软件捕获到异常。虽然病毒的安装程序(用于进行替换工作的程序)也只是被少数的反病毒软件检测出异常，因为这些检测出异常的杀毒引擎大多数采取了”启发式扫描”;

b)我觉得这个恶意代码非常的精巧。

2、介绍

让我们先看一下这个病毒的安装程序。程序允许带许多参数变量以适应不同的环境:

-path : [恶意程序将被安装的路径]-i : [目标URL地址, 例如 "/sensitive.aspx"-u : [卸载恶意程序]-is632 : [IIS6 32-Bit]-is664 : [IIS6 64-Bit]
事实上,安装程序非常简单。它包含有四个内嵌的式DLL文件(在PE结构的资源节区中)，在安装的时候根据目标系统的版本进行动态选择:

IIS6 + 32-BitIIS6 + 64-BitIIS7 + 32-BitIIS7 + 64-Bit
此外，这个ISN恶意程序也有一个VBS文件被嵌入到了PE的资源节区中(文件的内容请参考引用部分)，这个VBS脚本文件用于安装或者卸载用于替换IIS模块的恶意DLL文件(即上面说到那4个DLL文件)。

一旦运行，ISN.exe将执行以下操作:

1. 将根据我们"-path"指定的位置，或者当前的工作目录。把VBS复制到这个路径下，为后面的安装做准备，这个VBS文件将在安装完成删除，不会留下痕迹。2. 创建一个配置文件([文件].cfg)在同一个目录中。这个文件包含一个列表。3. 恶意程序的目标URL列表。4. 检查IIS版本以及攻击目标的操作系统架构。5. 提取相应的DLL到安装目录(从PE的资源节区中)。6. 调用VBS文件文件将恶意的DLL模块安装为IIS的模块。(IIS只是通过DLL的文件名进行动态加载，即使这是一个恶意程序，DLL签名技术在这里并不能起到防御作用)。
解压运行后的情况如下图：

在安装的过程中会产生一些日志信息，这些信息有助于我们判断安装是否成功以及失败的原因:

一旦成功安装的模块，它将监控在配置文件(isn.cfg)中指定的uri和dump(记录)任何捕获到的POST请求，将这些信息记录到[fileName].log中。该模块还将监控QUERY_STRING参数(IIS中的GPC参数，相当于PHP中的$_REQUEST)，并可以接受一些攻击者发送的命令(就像一个webshell一样)。我编写了一个简单的IIS实例来演示这个过程如何发生。

3. 演示

如下我们可以看到,我已经创建了一个简单的web表单,将模拟一个实际的电子商务网站。用户输入他们的名字和信用卡号码和提交信息，然后脚本”/buy.aspx”返回用户输入的数据。

在本次演示中，我设置一个自签名证书(self-signed certificate )，这样所有的HTTP交互都通过ssl通信。

现在，所有的正常的HTTP业务通信都先和我们的恶意程序进行了交互，这里要注意的，我们必须在配置文件中明确指明我们要”跟踪”的脚本文件(例如，buy.aspx)。这样，当指定的.aspx脚本产生HTTP通信时，ISN.EXE会自动对捕获到的数据进行记录

我前面提到的，这个恶意程序可以像webshell那样工作，原因是因为它同时监测QUERY_STRING参数并对其中包含的”特征字符串”进行匹配检索。具体地说，它将寻找以下命令:

1. isn_getlog——的内容并返回。日志文件2. isn_logdel——删除并。日志文件3. isn_logpath——返回的路径并。日志文件
这些命令可以简单地通过提供GET参数进行远程发送。

“isn_getlog” example:

“isn_logdel” example:

“isn_logpath” example:

4. 总结

总的来说，这个恶意软件似乎没有广泛传播，只有在一些个人的案例中出现。然而，极低的检出率与恶意软件的目标功能的结合使这中恶意程序成为一个非常现实的威胁。

Trustwave WebDefend和Modsecurity可用于在”感染路径”的起点阻止这个恶意程序，它们可以检测是否敏感的用户数据，如信用卡号码出现在出站数据中(outbound>



  我电脑中了一个木马，用360能查出来是“伪装IE恶意木马”但杀不掉，下了专杀和卡卡也不能。谁能帮帮我啊。
 
 

  估计是 灰鸽子那种的木马~~~ 用AVG Anti-Spyware 7.5试试
 
 

  伪装IE木马怎么杀不掉呀！
 
 

  进注册列表，找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion \\Run“mssysint”=,删除其数值C:\WINDOWS\system32\Com\ 把这个删了.! 然后用360杀.!我也中这个毒了，用360，瑞星都杀不掉，按照上面的方法就可以，也是别人教滴~~~！
 
 

  杀毒软件说木马伪装成windows系统文件什么意思
 
 

  如果你不用微软的操作系统绝对不会中毒,病毒都是口入的如果你没有打开这些口,那怎么会中毒呢,也就是有人专门在找这些口也就是漏洞推荐你安装avast 防病毒软件,这个软件我一直在用,他的监控制和杀毒功能都很强悍防病毒木马软件的公司,整天就是在研究病毒的特征码,纪录下来,杀毒软件就更新这个数据库,只要查到某个文件和这个特征码是对上的,那就判定这个是什么病毒,所以这其实有可能会误杀的,历史上就有很多的杀毒软件误杀系统文件的案例