Der Trojaner übernimmt das eigene Postfach und missbraucht die Mailadresse. (Bild: Peter Eggermann/fotolia.de)

Backdoor-Trojaner legt Antivirus-Software lahm

Die Arbeitsweise von Win32/Bafruz

Bei dem neu gefundenen Trojaner handelt es sich um eine besonders versteckte Version, die sich das Sicherheitsverhalten des Bedieners zunutze macht.

Nachdem Win32/Bafruz heruntergeladen und auf dem System installiert ist, sendet es einen Sicherheitshinweis auf den Desktop. Dieses sieht wie eine herkömmliche Warnung aus und gleicht sich optisch kaum unterscheidbar dem installierten Antivirus-Programm an.

Trojaner
Der Trojaner legt das System von innen heraus lahm (Bild: Peter Eggermann/fotolia.de)

Der Benutzer merkt nichts und folgt dem Hinweis, der zu einem Neustart – zur Vernichtung eines angeblich gefundenen Virus‘ – aufruft. Wird dieser Neustart ausgeführt, hat der Trojaner freie Bahn und ist vom Benutzer kaum mehr kontrollierbar. Wird der Neustart nicht ausgeführt, bootet der Trojaner das System teilweise selbst neu.

Einschleusen des Trojaners

Win32/Bafruz startet Windows im abgesicherten Schutzmodus neu. Die eigentliche Antivirus-Software ist mittlerweile gelöscht – der Trojaner hebelt so den gesamten Schutzmechanismus des Systems aus.

Durch eine Peer-to-peer-Verbindung mit einem Server wird anschließend weitere Malware heruntergeladen und zahlreiche Programme, vor allem systeminterne, nicht mehr vollkommen ausgeführt.

Betroffen sind Nutzer von McAfee-, Symantec-, Eset- und Kaspersky – Antivirus-Lösungen. Auch Microsoft Defender oder Security Essentials können von Win32/Bafruz imitiert werden. Eingeschleust wird der Backdoor-Trojaner hauptsächlich über soziale Netzwerke oder Spamanfragen.

Aktuelle Version laden

Microsoft hat auf die ernst zu nehmenden Bedrohung über das Microsoft Malware Protection Center aufmerksam gemacht. Nach Herunterladen der aktuellen Sicherheitsversion bestehe laut Microsoft für eine Infizierung keine Gefahr mehr.