安装成功后，病毒会修改windows的启动界面（login.scr），将其替换为病毒自身，以伪造成“windows加载前就扫描（boot scan）”的假象。然后病毒会不经用户提示，自动重启电脑（笔者按：这也是假冒杀软的一个明显特征）：

　　伪造的boot scan界面（其实此时windows已经全部加载完毕，正因为login.scr被替换，所以才出现类似boot scan的界面）：

　　点击扫描后，提示扫描到很多病毒（居然都是系统文件）：



 

　　扫描完毕后，提示“安装启发模块”才能清除病毒：



 

　　点击“Install heuristic module”后，将弹出购买网页，欺骗用户输入银行账号信息。

 

　　纵观这个AntiSpySafeguard，其模拟了从“发现病毒”->“在线扫描”->“下载”->“安装”->“Boot scan”->“购买激活”等一个“完整流程”的流程，以欺骗、引导用户“购买”，可见该假冒杀软的作者花了不少心思。但是细看每个步骤，还是可以发现一些破绽，比如只有那五款杀软能检测到病毒、未经用户允许就重启计算机、重启后检测的全是系统文件等等。有经验的用户还是能识破的。

 

第三款假冒杀软: Security Tool（安全工具）

 

　　这是一款近期更新非常频繁的fakeAV。点击运行后，会提示“安装成功”，随即出现主界面，并开始扫描：



 

　　同样，在我的电脑里检测到“五花八门”的病毒。这次是34个：

　　点击“Remove all threats now”（现在清除所有威胁）后，会提示用户激活：

　　点击激活后，弹出自定义的浏览器窗口，并让用户输入银行账户（该页面目前地址已更改，所以本例中提示无法找到页面）：

 

　　该假冒杀软没有什么明显的特征，界面风格明显，依然是走“扫描病毒，提示购买激活才能清除”的路线，但是该fakeav更新频繁，以躲避“真正杀软”的查杀，所以在日常软件使用中，一般用户还需多加小心。

第五款假冒杀软: General Antivirus

 

　　与第二款的“伪安装”不同，这是一款真正制作成安装包的fakeav，并且会有“license agreement”（许可协议）提示，可见作者的“良苦用心”：

 

　　安装成功后，依然不例外，不经用户点击即开始扫描。我们发现这款假冒杀软走的也是模仿windows路线，虽然元素不如上一款假冒杀软那么逼真，但是看上去也是有模有样：

　　扫描完毕（这次是16个。笔者案：看来每个fakeav对虚假病毒的定义也不一样），提示“Remove All”（清除所有）：

　　点击清除所有后，提示用户激活：

　　接下来便又回归到打开网页获取序列号的流程。这里就不再赘述。



 

总结：

 

　　目前传播在外的假冒杀软远远不止这五款，笔者只是从众多假冒杀软中，挑选了具有代表性的五款。纵观以上五款假冒杀软，我们可以概括出假冒杀软的以下几个特征：



　　1.界面华丽，但可配元素过少（通常只有扫描、清除、激活等操作选项）。

　　2.不经用户许可，启动后便扫描计算机、重启电脑。

　　3.扫描速度过快，扫描到的病毒种类各式各样（因为没有真正的扫描，而且正常来讲，用户计算机如果中了毒，病毒类型应该不会太杂）。

　　4.只能扫描，不能清除；只有购买才能清除。

　　5.购买时打开的网页使用的都是病毒自带的浏览器，以被用户抓住一些漏洞（比如网页地址、网络钓鱼等等）。

　　综上所述，我们可以从上面提到的五个特征着手来防止被免费杀软欺骗；同时建议您安装相应的安全软件，从各个角度保护您的网络冲浪、个人财产安全。