Secondo il Microsoft Malware Protection Center il Rogue conosciuto come Win32/FakePAV ha ricominciato a circolare ed ha colpire utilizzando nomi sempre più fantasiosi come “Windows Threats Destroyer”, “Windows Firewall Constructor”, "Windows Attacks Preventor" e “Windows Basic Antivirus”. Il software maligno si presenta come un archivio .rar autoestraente che contiene un secondo archivio rar. Il secondo archivio è protetto da password e viene eseguito attraverso uno script presente nel primo archivio.
Questo script include il comando per eseguire l'archivio interno passando un parametro che contiene la password. Inizialmente sono stati utilizzati scripts come questo:
TempMode
Setup=temp.exe -e -p1329827306
Silent=1
Overwrite=1
Update=U
dove "-p1329827306" è proprio la password (casuale) mentre gli altri paramentri permettono di estrarre il malware in modo "silente" per non destare sospetti.
Per offuscare ancora meglio lo script e prevenire il riconoscimento degli scanner anti-malware poiché i comandi di script negli archivi rar vengono memorizzati come parte del commento (in sostanza, tutto ciò che l'auto-estrattore non riconosce come istruzione viene ignorato, il che significa praticamente qualsiasi testo può essere aggiunto senza modificare la funzionalità), i creatori di Win32/FakePAV hanno scelto di inserire gli script in punti casuali di brani tratti da Romeo e Giulietta di Shakespeare (in giallo parti dello script).
Chor. Now old desire doth in his deathbed lie,
And young affection gapes to be his heir;
That fair for which love groan'd for and would die,
With tender Juliet match'd, is now not fair.
Overwrite=1
Now Romeo is belov'd, and loves again,
Alike bewitched by the charm of looks;
But to his foe suppos'd he must complain,
TempMode
And she steal love's sweet bait from fearful hooks.
Being held a foe, he may not have access
To breathe such vows as lovers use to swear,
And she as much in love, her means much less
To meet her new beloved anywhere;
But passion lends them power, time means, to meet,
Temp'ring extremities with extreme sweet. Exit.
ACT II. Scene I. A lane by the wall of Capulet's orchard.
Enter Romeo alone.
Rom. Can I go forward when my heart is here?
Turn back, dull earth, and find thy centre out.
[Climbs the wall and leaps down within it.]
Enter Benvolio with Mercutio.
Ben. Romeo! my cousin Romeo! Romeo!
Mer. He is wise,
And, on my life, hath stol'n him home to bed.
Ben. He ran this way, and leapt this orchard wall.
Call, good Mercutio.
Mer. Nay, I'll conjure too.
Romeo! humours! madman! passion! lover!
Appear thou in the likeness of a sigh;
Speak but one rhyme, and I am satisfied!
Update=U
Cry but 'Ay me!' pronounce but 'love' and 'dove';
Speak to my gossip Venus one fair word,
One nickname for her purblind son and heir,
Young Adam Cupid, he that shot so trim
When King Cophetua lov'd the beggar maid!
He heareth not, he stirreth not, be moveth not;
The ape is dead, and I must conjure him.
I conjure thee by Rosaline's bright eyes.
Setup=ww66viiszer85c7.exe -e -pz339dwh29n368u5
By her high forehead and her scarlet lip,
By her fine foot, straight leg, and quivering thigh,
And the demesnes that there adjacent lie,
That in thy likeness thou appear to us!
Ben. An if he hear thee, thou wilt anger him.
Mer. This cannot anger him. 'Twould anger him[...]
