U lažnom ažuriranju za Fleš, postoji nekoliko indicija da nešto nije u redu, kao na primer to što je deo GUI na turskom i nema klizne trake

Majkrosoft je upozorio korisnike na novog trojanca koji je maskiran u ažuriranje za "Adobe flash" i koji menja "home page" pretraživača, i presumerava korisnika na stranicu koja je pod kontrolom napadača.

U lažnom ažuriranju za Fleš postoji nekoliko indicija da nešto nije u redu, kao na primer to što je deo GUI na turskom i nema klizne trake (scroll bar) u EULA.

Fajl koga Majkrosoft detektuje kao "Trojan:Win32/Preflayer.A" širi se mejlovima. Malver zamenjuje "home page" internet eksplorera, gugl hroma, mozila fajerfoksa i janeksa sa "anasayfada.net" ili "heyde.com".

Ovi sajtovi izgledaju kao pretraživači. Na njima se prikazuju reklame u iskačućim prozorima, a korisnici se preusmeravaju na stranice koje nisu nameravali da posete.

Kada žrtva pokrene maliciozni fajl, pojavljuje se tipičan Fleš plejer okvir za dijalog (dialog box). Tekst sporazuma EULA nije u potpunosti vidljiv zbog nedostatka klizne trake. Međutim označavanjem teksta, može se pročitati ceo tekst do kraja i tako videti uslov da će home page browser-a biti promenjen.

Iako većina korisnika i ne čita EULA, čak i onim pažljivijim bi moglo da promakne da će program promeniti početnu stranicu pretraživača zbog nedostatka klizne trake.

Ukoliko korisnik ode korak dalje i klikne na dugme "instal" čiji je tekst na turskom, malver se izvršava i započinje promene. Domeni na kojima su nove početne stranice pretraživača, kao i domeni koji hostuju lažno ažuriranje za fleš su ne stariji od 6 meseci, uključujući i onaj od 4. marta koji hostuje maliciozni izvršni fajl.

Trojanac koristi prilično jednostavne trikove, a društveni inženjering nije naročito sofisticiran, bar ne dovoljno da bi ovaj malver bio uspešan. Ipak, iz Mmajkrosofta poručuju da bi korisnici trebalo da budu oprezni. Ako mislite da nešto nije u redu (recimo, ako vam izgleda sumnjivo nedostatak scroll bar-u u EULA u ovom slučaju), može biti da ste u pravu.