Прошло время с тех пор, когда был объявлен Microsoft Security Essentials на пресс-конференции 17 февраля 2010 года, пользователи к нему привыкли и доверяют. Вот этим то и воспользовались гнусные вирусописатели. Что происходит? Бэкдор «общается» с пользователем от имени Security Essentials и обманным путем удаляет антивирусное ПО из системы. Согласно сообщению исследователей информационной безопасности из Microsoft, эксперты компании обнаружили вирус, удаляющий антивирусное ПО из зараженной системы. 

Сразу после инфицирования системы бэкдор Win32/Bafruz, который специалисты Microsoft назвали уникальным, выдает пользователю сообщение, замаскированное под уведомление Security Essentials, о том, что на системе было обнаружено вредоносное ПО. 

Далее, если пользователь одобрит требования фальшивого антивируса, происходит перезагрузка в безопасном режиме, в ходе которой бэкдор удаляет из системы все известные ему компоненты антивирусных программ (список с угрожающими вирусу программами заранее предустановлен в коде Bafruz). 
Когда все необходимые операции завершены, бэкдор сообщает жертве, что отныне система работает в режиме «повышенной защиты». 

В Microsoft также отметили, что Bafruz может устанавливать P2P-соединение с другими зараженными машинами, получать инструкции от C&C-сервера и загружать дополнительные модули. Кроме того, вирус способен похищать учетные данные от социальных сервисов Facebook, «Вконтакте» и Bitcoin.