暗号化ファイルシステム（EFS）を悪用してフォレンジック解析を妨害する Backdoor.Tranwos | Symantec Connect Community（情報元のブックマーク数）

EFSを使ってフォレンジック回避するようなマルウエアか・・・面倒だな・・・

最近シマンテックは、暗号化ファイルシステム（EFS）を悪用する脅威（Backdoor.Tranwos として検出されます）を発見しました。プログラムコードで EFS を使用するのは些細なことであるだけでなく、フォレンジック解析の際にファイルの内容へのアクセスを妨害するうえでも、きわめて効果的です。この脅威は %Temp%\s[ランダムな ASCII 文字列] というフォルダを作成し、フォルダを暗号化するために EncryptFileW API を呼び出します。暗号化されたフォルダにこれ以降作成されるファイルやフォルダはすべて、Windows によって自動的に暗号化されます。また、wow.dll というファイル名で自身をこのフォルダにコピーし、DLL ファイルに変更するために PE ヘッダーの Characteristic 属性を改ざんします。
暗号化ファイルシステム（EFS）を悪用してフォレンジック解析を妨害する Backdoor.Tranwos | Symantec Connect

関連URL

暗号化ファイルシステム（EFS）を悪用してフォレンジック解析を妨害する Backdoor.Tranwos | Symantec Connect コミュニティ