Farklı ülkelerdeki kullanıcıları hedefleyen farklı domainler de yaratmışlar:
jp.powerfulvirusremover2008.com
es.powerfulvirusremover2008.com
nl.powerfulvirusremover2008.com
fr.powerfulvirusremover2008.com
dk.powerfulvirusremover2008.com
it.powerfulvirusremover2008.com
de.powerfulvirusremover2008.com
no.powerfulvirusremover2008.com
Sitelerin bir farkı yok, sadece ödemeleri aldıkları site strongbilling.com a yönlendirmede dil seçeneği belirtmek için.
Diyelim ki bi rkullanıcı (şansızlık ile veya bir trojan downloader ile) Rogue:W32/VirusRemover2008.C'nin demo kurulumunu indirdi ve çalıştırdı.
Kurulumda Son Kullanıcı Lisans Sözleşmesi açılıyor. Kimse okumuyordur heralde ama sözleşmeye koyacak kadar cesur oldukları konular var:
Ne tür programlar? Mesela Anti-Virüs?
Virüssüz? Tabi tabi. Yani şu sistemimde olduğunu söylediğiniz - fakat aslında olmayan - virüslermi?
Ok, diyelimki bunlar hiç okunmadan, sözleşme geçilerek , evrensel tıkla tıkla kur kanunu ile mutlu olarak sahte güvenlik çözümünü kurduk diyelim. Yaptıkları:
1. Sisteminizi tarıyor:
ve tabi ürünü satın almanızı söyleyen link'ler gösteriyor vs vs.
Bulduğu virüslere boşuna bakmayın. Onlar sisteminizde yok. Nerede olduklarını merak ediyorsanız söylüyeyim, sisteme koydukları bir metin dosyasında. Gayet okunabilir bir text dosyasında!
kaynak:
http://www.f-secure.com/weblog/archives/00001548.html
