by Thomas Salomon, head of AVAST Software ‘s German Software Development team In a previous blog post we wrote about the statistics from avast! Browser Cleanup. These statistics have become even worse: More than 1,000,000 (one million!) browser add-ons are available for the three main browsers More than 82% of all add-ons have a bad […]
With the convenience of our mobile apps, we increasingly rely on our phones for work and play. But did you know that those same apps might be leaving you vulnerable to some nasty mobile viruses? The worst type of malware, software that damages your computer or mobile, is a Trojan. Trojans are a particularly insidious Read more…
最近シマンテックは、暗号化ファイルシステム(EFS)を悪用する脅威(Backdoor.Tranwos として検出されます)を発見しました。プログラムコードで EFS を使用するのは些細なことであるだけでなく、フォレンジック解析の際にファイルの内容へのアクセスを妨害するうえでも、きわめて効果的です。
この脅威は %Temp%\s[ランダムな ASCII 文字列] というフォルダを作成し、フォルダを暗号化するために EncryptFileW API を呼び出します。暗号化されたフォルダにこれ以降作成されるファイルやフォルダはすべて、Windows によって自動的に暗号化されます。また、wow.dll というファイル名で自身をこのフォルダにコピーし、DLL ファイルに変更するために PE ヘッダーの Characteristic 属性を改ざんします。
図 1. フォルダを作成して暗号化
セキュリティ研究者は、感染したコンピュータから悪質なファイルを取り出せるように、リムーバブルドライブから起動できるタイプの Linux など、別のオペレーティングシステムを使っている場合があります。この方法は、ルートキットに感染したコンピュータからファイルを取り出すときに便利ですが、wow.dll ファイルは EFS 上で暗号化されているため、この方法で wow.dll ファイルを取り出すことはできません。
この脅威を実行したユーザーアカウントでは、ファイルの内容を確認し、暗号化のステータスを変更することができます。通常とは異なり、この脅威に対して研究者はフォレンジックツールを使えないため、ファイルの内容を収集するには、テストコンピュータ上でこの脅威を手動で実行しなければなりません。この脅威が EFS を利用する唯一の目的は、フォレンジック解析で自身の内容が把握されないようにすることです。
図 2. wow.dll ファイルのパス
この脅威が実行されると、暗号化されたフォルダとファイルはエクスプローラで緑色で表示されます。
この脅威には、開いたバックドアを通じてリモートの攻撃者から受信されるコマンドに応じてコマンド & コントロールサーバーを変える機能があります。また、追加のマルウェアを侵入先のコンピュータにダウンロードする機能もあります。シマンテックはこの脅威の監視を続け、新たに何か判明し次第報告する予定です。
このような脅威から保護するために、ウイルス対策定義、IPS シグネチャ、ファイアウォールルールを最新の状態に保つことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Recently, we discovered a threat that abuses the Encrypting File System (EFS), which Symantec detects as Backdoor.Tranwos. Not only is it trivial for program code to use EFS, it’s also very effective at preventing forensic analysis from accessing…
Cybercriminals are adopting complex and powerful techniques to “hack,” or take control of online accounts belonging to other people or organizations. Often, they do this by identifying the passwords belonging to an account user. This used to be a complicated task, but, as The Atlantic notes, discovering passwords today can be as simple as running Read more…
More than 58 million American adults had at least one malware infection that affected their home PC’s performance last year. The cost of repairing the damage from those infections was nearly $4 billion. These findings are from the latest Consumer Reports’ Annual State of the Net Report published in the June issue of their respected magazine. […]
Like all doting daughters, I adore my mother. However, I have to confess – I haven’t yet purchased her well-deserved Mother’s Day gift. But I am not short of gift suggestions, no way. In fact, I have an inbox full of emails offering me fabulous gift options from knives to nighties. So all is well, Read more…
This past April (4/19 to 4/21) I had the great pleasure and experience of joining the Red Team at 9th NCCDC competition. It was actually my 2nd year on the Red Team and 4th year to attend in total (I judged in 2010 and 2011). McAfee is actually a perpetual Read more…
As you may recall from earlier posts in my blog, a denial-of-service (DDoS) attack occurs when hackers flood a target website with large amounts of traffic. This traffic is often generated through the hacker’s botnet, or network of infected computers. Usually, when a cybercriminal launches a DDoS attack on a website, there isn’t much for Read more…
Question of the week: I have avast! Free Antivirus on my computer and I love it, but isn’t antivirus for a smartphone overkill? I mean, there are not so many threats to a phone, are there? This is a question being asked by lots of security firms lately, and the answer is a resounding, YES. […]