米Symantecは、同社が運営するblog「Symantec Security Response Weblog」において、感染後の動作として「このWindowsは別のユーザに使用されています」というウインドウを表示し、ユーザーの個人情報を盗み取るマルウェア「Trojan.Kardphisher」について報告した。
Trojan.Kardphisherに感染すると、再起動後に英語で「このWindowsは別のユーザに使用されています。再アクティベーションが必要です。再アクティベーションには支払い方法の情報が必要ですが、チャージされることはありません」というウインドウが表示されるという。その後、「再アクティベーションを行う」を選択すると、下図のようなウインドウが表示され、クレジットカード番号や電子メールアドレス、電話番号などの入力が促される。また、「再アクティベーションを後で行う」を選択すると、Windowsがシャットダウンしてしまうという。
Trojan.Kardphisherによって表示される偽の入力ウインドウ |
感染動作の一環としてタスクマネージャが無効にされるため、ウインドウを停止させることもかなわないという。
後日、Symantecはこのエントリのフォローアップを記入し、タスクマネージャを利用可能にし、手動で駆除する手段として、セーフモードの利用ならびに「偽の情報の入力」があることを示している。