Symantec

シマンテックは6月10日(協定世界時)、ブログ「暗号化ファイルシステム(EFS)を悪用してフォレンジック解析を妨害する Backdoor.Tranwos」において、暗号化ファイルシステムを使用するバックドアプログラムを発見したことを報告した。データを暗号化するために暗号化フォルダを作成し、そこに作業中のファイルやフォルダなどを作成することでデータがWindowsによって自動的に暗号化されるという。

暗号化ファイルシステムを利用されるとフォレンジック解析によって解析されにくくなる。WindowsではなくほかのOSから暗号化されたファイル/フォルダを見ようとしても、暗号化ファイルシステム(EFS)が使われているためこのファイルを取り出すこともできない。

バックドアプログラムには、リモートから制御を受けたり、別のマルウェアをインストールする機能があり、注意が必要。記事では対策としてウイルス対策定義、IPS シグネチャ、ファイアウォールルールを最新の状態に保つことを推奨している。