Malwarebytes安全研究员 Pieter Arntz最近发现了一款伪装成破解软件的恶意软件，但实质上是被用于布置骗局。

一旦计算机被感染，将显示一个虚假的BSOD（微软操作系统的经典蓝屏死机提示屏幕）。在稍后，还会显示一个伪装成“Windows疑难解答”的窗口。最后，此窗口将声明计算机无法修复，以阻止受害者继续使用Windows，并提示受害者使用PayPal（贝宝，一款在线付款工具）购买程序以修复“检测到的问题”并解锁屏幕。

感染从恶意软件的安装程序运行时开始，它将从网站hitechnovation.com下载各种可执行文件并将其保存在不同的文件夹中。然后，配置一个文件作为Windows服务，以便能够自动启动并修改某些注册表项以禁用各种热键。

csrvc.exe-将被下载并保存到％Temp％csrvc，并会将被配置为Windows服务。用来终止各种进程，如任务管理器、注册表编辑器和资源管理器；

BSOD.exe-将被下载并保存到％Temp％ csrvc，用于显示虚假的蓝屏死机提示屏幕；Troubleshoot.exe-将被下载并保存到％Temp％ csrvc，用于显示虚假的Windows疑难解答工具；

Scshtrv.exe-将被下载并保存到％Temp％ csrvc，用于将屏幕截图上传到远程FTP站点（182.50.132.48）；Arntz表示，目前还不清楚这个屏幕截图会被用来干什么；

adwizz.exe-将被下载并保存到C：Program Filesadwizz，用于显示banggood.com网站的广告窗口。Arntz表示，这最有可能是该恶意软件的开发者的另外一种获利方式——为某些在线购物网站打广告。

一旦恶意软件被下载并安装，BSOD.exe程序将在桌面上显示一个虚假的蓝屏死机提示屏幕。根据屏幕上的信息显示，指出system32.dll文件出现了异常，并会开始播放一遍又一遍令人心烦的嘟嘟声（如果你在使用计算机过程中遇到过真实的蓝屏死机情况就会知道，在蓝屏死机计算机就会发出这种声音）。

然后，Troubleshoot.exe程序将启动并显示一个名为“疑难解答Windows”的窗口，指出计算机缺少“.dll注册表文件”，并提示是否选择对计算机进行故障排除。

如果选择继续，点击“下一步（Next）”，它会假装在执行扫描。并在扫描结束后，显示无法修复检测到的问题。并提示受害者可以选择“在线技术支持（Live Chat Support）”，在Arntz的测试中，并无实际作用；或选择使用PayPal购买“Windows Defender Essentials”。

在点击“Buy Windows Defender Essentials”选项后，将打开一个PayPal页面，并提示受害者需要话费25美元来购买该程序。

根据Arntz的研究，打开的页面是lillysoft.it@gmail.com PayPal帐户，并使用以下网址：

https://www.paypal.com/cgi-bin/webscr?cmd=_s-xclick&hosted_button_id=DXKLEMZTGTTDY

如果受害者付款，将被重定向到http://hitechnovation.com/thankyou.txt，其中包含字符串“thankuhitechnovation”。当Troubleshoot.exe检测到这个特定的字符串时，它会打开一个伪装成正在解决问题的新屏幕，并允许受害者关闭窗口。

Arntz表示，Troubleshoot.exe显然只是一个屏幕保护程序，旨在欺骗受害者花25美元来“修复”所谓的问题。

通过上面的描述我们可以得知，为了确定受害者是否已经通过PayPal进行了付款，Troubleshoot.exe将检查字符串“thankuhitechnovation”。

这也就成为了它的一个“弱点”。Arntz表示，可以通过一种手段来欺骗Troubleshoot.exe，让其误以为付款已经完成，进而可以关闭窗口。

在PayPal页面上，使用Ctrl+O键盘组合会打开一个对话框，询问用户要打开哪个页面，如下所示：

这时候，可以选择进入类似http://hitechnovation.com/thankyou.txt这样的页面 ，只要其中包含有字符串“thankuhitechnovation”。这样，Troubleshoot.exe就会认为付款已经完成，并允许受害者关闭窗口。