Компания Microsoft обнаружила «уникальный» бэкдор Win32/Bafruz: он устанавливает P2P-соединения с другими заражёнными компьютерами, управляется через C&C-серверы, оснащён несколькими вредоносными модулями. Различные модули Win32/Bafruz обладают разными возможностями: копирование паролей от сетей Facebook и «Вконтакте», осуществление DDoS-атак, майнинг Bitcoin, скачивание дополнительные модулей с удалённого сервера и т.д., но самое интересное — он способен отключать антивирусные программы и файрволы.
Программа действует следующим образом. При инфицировании компьютера она показывает фальшивое сообщение якобы от антивируса о нахождении вредоносного ПО. В отличие от других фальшивых антивирусов, здесь не блокируются файлы и не требуется отправить платную SMS. Злоумышленники хотят только, чтобы вы перезагрузили компьютер по нажатию кнопки Remove.
После этого начинается самое интересное. После нажатия Remove компьютер перезагружается в безопасном режиме, в котором Bafruz удаляет из системы компоненты антивирусов. Удаление антивирусов и файрволов осуществляется по списку, который присутствует в коде Bafruz.
По окончании загрузки вредоносная программа демонстрирует пользователю сообщение, что компьютер теперь работает в режиме «улучшенной защищённости».