这款FakeAV假冒了微软的杀毒套装MSE，一般用户乍一看，还真以为是MSE：

　　运行该病毒后，便弹出伪造的MSE窗口，并提示发现威胁，目标位于：c:windowssystem32cmd.exe，点击Clean computer或者Apply actions后，会“一本正经”地尝试清除：

　　但是最后会提示“Unable to remove threat”（无法清除），然后建议你“Scan Online”（在线扫描）：

　　点击在线扫描后，会出现各大杀软的图标，看上去应该是会让各大杀软都来扫描一次（笔者案：其实都没有扫描，进度条是虚假的）：

　　点击“Start scan”后，所有杀软开始扫描。扫描结束后，只有五款杀软检测到病毒，然后会提示你安装这五款杀软（笔者案：其实这无款杀软是病毒虚构的，而且这五款杀软背后指向的其实是同一款，即病毒自身。病毒只是模拟了用户的习惯性行为过程）

　　我们点击“Free Install”（免费安装）后，病毒又模拟了“下载”“安装”的过程（实则只是个节目，并未做实质的下载、安装行为）：

　　下载：

　　安装：

　　安装成功后，病毒会修改windows的启动界面（login.scr），将其替换为病毒自身，以伪造成“windows加载前就扫描（boot scan）”的假象。然后病毒会不经用户提示，自动重启电脑（笔者按：这也是fakeav的一个明显特征）：

　　伪造的boot scan界面（其实此时windows已经全部加载完毕，正因为login.scr被替换，所以才出现类似boot scan的界面）：

　　点击扫描后，提示扫描到很多病毒（居然都是系统文件）：

　　扫描完毕后，提示“安装启发模块”才能清除病毒：

　　点击“Install heuristic module”后，将弹出购买网页，欺骗用户输入银行账号信息。

　　纵观这个AntiSpySafeguard，其模拟了从“发现病毒”->“在线扫描”->“下载”->“安装”->“Boot scan”->“购买激活”等一个“完整流程”的流程，以欺骗、引导用户“购买”，可见该fakeav的作者花了不少心思。但是细看每个步骤，还是可以发现一些破绽，比如只有那五款杀软能检测到病毒、未经用户允许就重启计算机、重启后检测的全是系统文件等等。有经验的用户还是能识破的。