昨年、当ブログにて、Fareitが大量のスパムメールで送られていることについて書いた

 2か月後、感染系統に別の手段が追加された。悪意あるDNSサーバを経由させるものだ。

 そのDNSサーバではFareitが使用する悪意あるサーバを指すように設定が書き換えられていて、無防備なユーザが一般的なWebサイトを訪れようとすると警告を出す。曰く「
WARNING! Your Flash Player may be out of date. Please update to continue.(警告。このFlash Playerは古い可能性があります。先に進むには更新してください)」だ。

_flash_update_chrome (2k image)

 「Flash Player Pro」のダウンロードページは、ユーザが訪れようとしていたWebサイトが提供しているように装っている。

_setupimg (90k image)

 「setup.exe」ファイルをダウンロードしても、実際にGoogleから何かバイナリを持ってくることはない。その代わり、ユーザは悪意のあるIPアドレスからFareitのコピーを得ることになる。Fareitはダウンローダ型のトロイの木馬で、情報を盗む。

_urls_1 (72k image)

 当社で把握している最近のサンプルでは、以下に接続してダウンロードする。
 • angryflo.ru
 • reggpower.su
 • 192.163.227.127

 悪意あるDNSサーバを経由したFareitへの感染は、主にポーランドからのものを当社では目にしている。

_map (91k image)

 今年の初めから、ユーザが次のIPアドレスにリダイレクトされるのを観察してきた。
 • 31.192.211.50
 • 85.25.213.208
 • 109.235.51.213
 • 108.62.115.162
 • 188.138.41.85

 一方、以下は悪意あるDNSサーバとして報告されたものの一部である。
 • 184.107.242.162
 • 184.107.232.162
 • 168.144.134.129

 あなたのDNSサーバの現在の設定について詳細を知りたいのであれば、ここで提供されている当社のベータツールを試してみることができる。

 もしあなたのDNSサーバの設定が侵害されていたら、以下の手順を試すことをお勧めする。
 • インターネットからルータを切断して、再設定をする
 • ルータ上のパスワードを変更する。とりわけ、デフォルトのパスワードのままの場合
 • ルータのリモート管理を無効にする
 • ルータを確認、更新して、最新のファームウェアを用いるようにする
 • デスクトップ機をリブートして、DNSキャッシュをクリアする
 • 信用できる最新のアンチウィルスプログラムでデスクトップ機をスキャンする