A képzelten felhasználók hiszékenységét kihasználó, magukat víruskeresőknek és egyéb biztonságtechnikai programoknak álcázó szoftverek (ún. scanware-ek) leggyakrabban ingyenes víruskeresési lehetőséget ajánlanak fel, de természetesen az égvilágon semmi hasznuk sincsen, sőt: látszólag végrehajtják ugyan a szkennelést, de a valóságban bármilyen gépre is telepítjük fel őket, mindig „kapást” fognak jelezni. A DefenceLab fantázianevű féreg mindezt megfejelte egy meglehetősen aljas trükkel: a program saját magát a Microsoft ajánlásával hirdeti, ráadásul az avatatlan szemek számára nagyon is hihető módon.

A kártevő egyik variánsa elvégzi a szokásos kamu víruskeresését, majd a Microsoft terméktámogatási felületére kalauzolja az áldozatot, miközben a fertőzést kihasználva html-kódot fecskendez a böngészőn keresztül az oldalba. Ezzel azt a látszatot kelti, hogy Redmond javasolja a rosszindulatú szoftver megvásárlását – írja Tom Kelchner, a Sunbelt Software biztonságtechnikai cég kutatója blogjában. Az egész átverés a fix it parancsgomb köré épül, melyre kattintva az áldozat eljut a szoftver online értékesítési felületére – itt pedig megvásárolhat egy olyan terméket, ami az égvilágon semmire sem alkalmas.

Az eredeti oldal...

...és a hamisított Microsoft-felület (Forrás: Sunbelt Software)

Egy áprilisi jelentésben a Microsoft arról számolt be, hogy több mint hárommillió számítógépen fedezett fel víruskeresőnek álcázott kártékony programokat, mint például a Win32/FakeXPA és a Win32/FakeSecSen nevű kártevőket. Független szakértők arra a meglehetősen kézenfekvő megállapításra jutottak, hogy az ilyen szoftverek írói jórészt csupán nyerészkedni szeretnének a mű rendszervizsgálat eredményére épülő marketingből, de a sötétebb szándékú programozók sajnos nem állnak meg ezen a ponton: trójai programokat rejtenek el az álvírusirtó kódjában, amelyeket később akár a fertőzött rendszer feletti irányítás átvételére is használhatnak.