Новый вирус «общается» с пользователеми от имени Microsoft Security Essentials и удаляет антивирусное программное обеспечение из зараженной системы.
Сразу после инфицирования системы бэкдор Win32/Bafruz выдает пользователю сообщение, замаскированное под уведомление Security Essentials, о том, что на системе было обнаружено вредоносное ПО.
Если пользователь одобрит требования фальшивого антивируса, происходит перезагрузка в безопасном режиме, в ходе которой бэкдор удаляет из системы все известные ему компоненты антивирусных программ (список с угрожающими вирусу программами заранее предустановлен в коде Bafruz). Когда все необходимые операции завершены, бэкдор сообщает жертве, что отныне система работает в режиме «повышенной защиты».
В Microsoft также отметили, что Bafruz может устанавливать P2P-соединение с другими зараженными машинами, получать инструкции от C&C-сервера и загружать дополнительные модули. Кроме того, вирус способен похищать учетные данные от социальных сервисов Facebook, «Вконтакте» и Bitcoin.
