На днях, специалисты из компании GFI сообщили об обнаружении очередного фальшивого антивируса AV Protection 2011, с которым пользователи сталкиваются сети Интернет. Эксперты отмечают, что подделка относится к семейству вредоносных программ под названием FakeScanti, которая была впервые обнаружена в первом квартале 2010 года. После установки на компьютер пользователя, фальшивый антивирус вносит изменения в hosts-файл во время своего выполнения. Этот функционал позаимствован ложным антивирусом у бэкдоров и сетевых червей. Действует фальшивый антивирус по следующей схеме: когда пользователь вводит в адресной строке браузера один из следующих доменов: google.com, yahoo.com. bing.com или facebook.com, ложный антивирус перенаправляет его на вредоносный сервер по адресу 46.4.179.109, расположенный в Германии. На сервере также расположен AV Secure 2012, еще один вариант FakeScanti. С данной подделкой сталкиваются пользователи, которые стали жертвами black SEO (черные оптимизаторы) или получили ссылку на вредоносное ПО через спам-сообщение. Для установки этого вредоносного ПО используется BlackHole Exploit kit. В классификации GFI, данный зловред (AV Protection 2011) обозначили как Trojan.Win32.FakeAV.IS (v).