ノートパソコン dynabook が 
5万円台から♪パスワード流出FTPソフトNo.1? TSPY_FAREIT Win32/Fareitウイルス Pony
Fareitは、Windowsパソコンに導入されてる様々なソフトのアカウント情報(ユーザーIDやパスワード)を引っこ抜きたい時に、結構頻繁に使われてる感じのコンピュータウイルスです。 
セキュリティ会社のウイルス検出名は、下のような感じになってます。
● Trend Micro ⇒ TSPY_FAREIT、TSPY_TEPFER ... TSPYは「Trojan Spy」の意
● Symantec ⇒ Trojan.Fareit、Downloader.Ponik
● Microsoft ⇒ PWS:Win32/Fareit ... PWSは「Password Stealer」の意
Fareitウイルスの感染経路としては、特に改ざん被害を受けてる一般サイトやブログ経由でドライブバイ・ダウンロード攻撃が発動して、知らないうちにインストールされてしまうパターンです。
- メール由来の自爆感染 (添付ファイル、誘導リンク)
- ネットサーフィン中のドライブバイ・ダウンロード攻撃 ←
コンピュータウイルスの目的の1つ「情報を盗みとる」
このFareitウイルスは、サイバー犯罪者側の視点から言うと、引っこ抜いた情報を管理するシステム Pony(ポニー) と繋がってます。
http://i41.tinypic.com/33ekg84.png
ファビコンがお馬さん! Pony の管理システムにログインするためのページ
パスワードが分からんので中には入れん… (´・_・`)
ファビコンがお馬さん! Pony の管理システムにログインするためのページ
パスワードが分からんので中には入れん… (´・_・`)
● Inside Pony 1.7 / Fareit C&C - Botnet Control Panel (Malware don't need Coffee)
http://malware.dontneedcoffee.com/2012/06/inside-pony-17.html?m=1
● BOTNET PONY 1.9 (Malware Laboratorio Malware)
http://laboratoriomalware.blogspot.com/2013/01/botnet-pony-19-malware.html
● Pony 1.9 Win32/Fareit (XyliBox)
http://www.xylibox.com/2013/05/pony-19-win32fareit.html
● Analizando al “pony” (Inteco)
https://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/analizando_pony
● Look What I Found: Moar Pony! (SpiderLabs)
http://blog.spiderlabs.com/2013/12/look-what-i-found-moar-pony.html
● Look What I Found: Pony is After Your Coins! (SpiderLabs)
http://blog.spiderlabs.com/2014/02/look-what-i-found-pony-is-after-your-coins.html
このウイルスが引っこ抜く対象は、たとえば下のようなものになります。 
- FTPソフトに保存されてるアカウント ← 正規サイトを乗っ取るため
- ブラウザ(IE、Firefox、Chrome)のオートコンプリート情報
- メールソフトのアカウント (Outlook、Thunderbirdなど)
- Bitcoinなど仮想通貨のウォレット
根本的に感染しないよう対策を実施するのはもちろんだけど、最悪感染した状況も想定しておくべきで、下のような対策が有効です。
* ソフトにパスワードを保存させない
* マスターパスワード機能を活用する
* ファイアウォール(アウトバウンド側が重要)を活用する
* ソフトにパスワードを保存させない
* マスターパスワード機能を活用する
* ファイアウォール(アウトバウンド側が重要)を活用する
FTPソフト FileZilla 由来のアカウント流出が多い?
ちなみに、マルウェアハンターの方たちが暴露してる Pony の管理画面を見ると、抜き取ったFTPソフト一覧から突出して数が多いのが無料FTPソフトの1つ
FileZilla
http://i40.tinypic.com/300h177.png
日本でも有名な FFFTP もあり、この45件はぜんぶ日本のサイト?
日本でも有名な FFFTP もあり、この45件はぜんぶ日本のサイト?
なぜ FileZilla が突出してるのか?
ユーザー数が多い定番ソフトの1つであるのはもちろんのこと、設定ファイルにパスワード文字列をそのまま生身の状態で出力することが影響してる可能性があります。 
仮にもパスワードを保存する運用方法だと、ハードディスク上に存在する Filezilla の設定ファイルを読みに行くだけなので、Windowsパソコンが起動してる間は常に抜き放題なのです。
