Da der IIS-Webserver ja nur als Rolle freiwillig von den Admins auf einem Windows-Server installiert / aktiviert wird, hat man schließlich immer die Auswahl, ob man den IIS verwenden möchte! Ich pers. würde da andere Lösungen bevorzugen, wenn es um reine Webserver-Aufgaben geht!
Intern, in einem nach außen abgesicherten Domänennetzwerk hat der IIS einfach einige Vorteile. Da wäre alleine schon die Zertifikatsverwaltung für Bereitstellungen im Intranet erwähnenswert, die einem Admin die Verwaltung und Bereitstellungen echt erleichtert. Vom Einsatz im Internet als reine Webplattform, kann man nur abraten (wie man hier am Beispiel wieder mal deutlich sehen kann)!
Man braucht ja nur einmal das Internet nach ungesicherten IIS-WebDAV Verbindungen zu scannen, um aus dem Lachen nicht mehr herauszukommen! Diese Server werden ganz schnell bei speziellen JASON Payloads die Flügel strecken - eine beliebte Übung bei vielen OpSec-Schulungen für Anfänger! 
na nur mal gut, dass ich grundsätzlich alle webserver.logs auf /dev/null pointe 
Um die lokalen Logs in wwwroot auszulesen muss die Malware für gewöhnlich schon drauf sein.
„Über IIS eine Malware einschleusen“ ist daher ja mal bewusst gewagt formuliert.
Aber der Gedanke zur Steuerung hat Potential, man kann ja auch die Windows FW anleiten in eine Text Datei zu protokollieren.
Eine Malware kommt selten allein. Es geht ja um einen Dropper, der für sich genommen erstmal harmlos ist und lediglich eine andere Malware nachlädt. Und ja, dieser Dropper muss bereits auf dem System sein. Da er selbst keinen schadhaften Code enthält, bleibt er aber oftmals unentdeckt.