Suchen

Backdoor-Trojaner deaktiviert Antivirus-Lösungen Microsoft warnt vor Malware Win32/Bafruz

| Redakteur: Stephan Augsten

Microsoft hat das Windows-Tool zum Entfernen bösartiger Software um eine neue Variante der Malware-Familie Bafruz erweitert. Der Backdoor-Trojaner deaktiviert Antivirus-Software und gliedert infizierte Rechner in ein Peer-to-Peer-Netzwerk ein.

Firma zum Thema

Microsoft hat die Malware-Signatur von Win32/Bafruz aktualisiert.
Microsoft hat die Malware-Signatur von Win32/Bafruz aktualisiert.
(Microsoft)

Mit einer gefälschten Sicherheitswarnung gelingt es dem Backdoor-Trojaner Win32/Bafruz, sich auf einem infizierten System festzusetzen. Im Benachrichtigungsfeld (System Tray) der Windows-Startleiste erscheint eine Viren-Warnung, die vom installierten Sicherheitsprodukt zu stammen scheint.

Mit einer gefälschten Virenwarnung verleitet Bafruz den Anwender zum System-Neustart, um Antivirus-Produkte abzuschalten.
Mit einer gefälschten Virenwarnung verleitet Bafruz den Anwender zum System-Neustart, um Antivirus-Produkte abzuschalten.
(Microsoft)
Dem Anwender wird im Rahmen der Sicherheitswarnung empfohlen, das Virus zu entfernen, was einen Computer-Neustart erfordere. Bafruz startet den Rechner anschließend im sicheren Modus, in dem er wichtige Komponenten des Antivirus-Produkts entfernen kann, um es zu komplett zu deaktivieren.

Fährt der Anwender das System nicht manuell herunter, erzwingt der Trojaner unter Umständen den Reboot. Sobald das System wieder hochgefahren wurde, gibt sich die Malware erneut als das installierte Sicherheitsprodukt aus. Sie meldet, der Rechner arbeite nun im erweiterten Schutzmodus (Enhanced Protection Mode).

Gefälschte Antivirus-Lösungen

Bafruz wurde auf die Antivirus-Lösungen von McAfee, Symantec, Eset und Kaspersky ausgerichtet. Der Trojaner kann sich außerdem als Microsoft Defender oder Microsoft Security Essentials ausgeben. Es ist davon auszugehen, dass weitere namhafte Anbieter folgen werden.

Laut Microsoft ist der Trojaner dazu in der Lage, im Hintergrund weitere Komponenten und andere Malware herunterzuladen. Hierfür richtet Bafruz eine Peer-to-Peer-Verbindung zu seinen Command-and-Control-Server ein. Ähnlich einer Bot-Malware eignet sich der Trojaner auch für DDoS-Angriffe (Distributed Denial of Service).

Die Malware kann auch die Kommunikation über Social-Media-Plattformen verfolgen. Gefährdet sind vor allem Anwender, die Facebook und das russische Soziale Netzwerk vk.com (VKontakte.ru) nutzen. Weiter heißt es im Microsoft Malware Protection Center, dass Bafruz auch dazu in der Lage ist, auf dem infizierten Rechner Bitcoins zu generieren (Bitcoin Mining ).

(ID:35149440)