Az utóbbi időszakokban rengeteg olyan kártékony program szaporodott el, amelyek egyszerű, ugyanakkor meglehetősen megtévesztő trükkök révén próbálják rávenni a felhasználókat arra, hogy egy haszontalan alkalmazásért fizessenek. E programok általában minden alapot nélkülöző biztonsági riasztásokkal rémisztgetik a felhasználókat, majd némi pénzért cserébe lehetővé teszik azon „teljes értékű” szoftver letöltését, amely állítólag képes a valóságban nem is létező kártékony programok eltávolítására.
A 007AntiSpyware nevű kártevő is a hamis kémprogram-keresők közé tartozik, és a viselkedése is teljes mértékben megfelel e rosszindulatú alkalmazásokénál megszokott jellemzőknek. A Symantec szerint a 007AntiSpyware leginkább a májusban felfedezett Spyware Cease kártékony programhoz hasonlít.
Az Isidor Biztonsági Központ szerint a 007AntiSpyware és az ehhez hasonló kártékony programok elsősorban rosszindulatú weboldalakról töltődnek le a számítógépekre, vagy más számítógépes kártevők telepítik fel ezeket a rendszerekre.
Amikor a 007AntiSpyware elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%ProgramFiles%\007 Anti-Spyware
%ProgramFiles%\007 Anti-Spyware\update
%UserProfile%\Start Menu\Programs\007 Anti-Spyware
2. A következő könyvtárakba bemásolja a saját állományait:
%ProgramFiles%\007 Anti-Spyware\007-Anti-Spyware.exe
%ProgramFiles%\007 Anti-Spyware\asdb.dat
%ProgramFiles%\007 Anti-Spyware\asfile.dll
%ProgramFiles%\007 Anti-Spyware\ASHitApi.dll
%ProgramFiles%\007 Anti-Spyware\askdll.dll
%ProgramFiles%\007 Anti-Spyware\asUpdate.dll
%ProgramFiles%\007 Anti-Spyware\AutoUpdate.exe
%ProgramFiles%\007 Anti-Spyware\ClientDF.dll
%ProgramFiles%\007 Anti-Spyware\License.txt
%ProgramFiles%\007 Anti-Spyware\LSR.lsr
%ProgramFiles%\007 Anti-Spyware\md5.dll
%ProgramFiles%\007 Anti-Spyware\networkas2.dll
%ProgramFiles%\007 Anti-Spyware\RegDefend.ini
%ProgramFiles%\007 Anti-Spyware\Scanft.dll
%ProgramFiles%\007 Anti-Spyware\Scangi.dll
%ProgramFiles%\007 Anti-Spyware\zlib1.dll
%SystemRoot%\RKHit.sys
%UserProfile%\Desktop\007 Anti-Spyware.lnk
%UserProfile%\Start Menu\Programs\007 Anti-Spyware\007 Anti-Spyware.lnk
%UserProfile%\Start Menu\Programs\007 Anti-Spyware\Uninstall 007 Anti-Spyware.lnk
%Windir%\007 Anti-Spyware Uninstaller.exe
3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"007-Anti-Spyware.exe" = "%ProgramFiles%\007 Anti-Spyware\007-Anti-Spyware.exe"
4. A regisztrációs adatbázisban létrehozza az alábbi kulcsokat:
HKEY_CLASSES_ROOT\CLSID\{BC00E47F-1016-25DD-E208-74A12348F178}
HKEY_CURRENT_USER\Software\Spyware Cease
HKEY_LOCAL_MACHINE\SOFTWARE\007AntiSpyware.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\007 Anti-Spyware
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RkHit
5. A Windows minden egyes betöltődésekor elindul, és megpróbálja rávenni a felhasználót egy teljes verziójú szoftver megvásárlására.
