Rogue AV programs have become increasingly common in last two years. We at the SANS Internet Storm Center get messages from our readers about new rogue AV sites daily.

It is obvious that the bad guys are making (serious?) money with this scamming scheme. There are couple of things interesting about rogue AV programs. First, the bad guys here do not use (in most cases) any sophisticated attacks on clients. They instead rely on visitors to wittingly install their "AV program". How do they do this? Through social engineering  they create web pages which are very authentic copy of legitimate screens in Windows operating systems. These web pages make visitors believe that their machine is infected with several malicious programs and that the offered "AV program" can help them clean it.

ユーザーが不正サイトを訪れると、Windows Security Centerの画面にそっくりに作り込んだWebページを表示してユーザーをだますのが常套手段だ。このページのコードを調べたところ、非常に良くできており、プロのプログラマーが作成したものと思われることが分かったという。スキャン結果と称して「あなたのコンピュータからウイルスが検出されました」と警告する画面では、Windowsマシンの中から無作為に選んだファイル名を表示して信憑性を高めている。
もちろんこれはWindowsの正規画面ではなく、攻撃側が作った画像にすぎず、「Remove all」と「Cancel」のいずれをクリックしても、偽ウイルス対策ソフトのダウンロードを促される仕組みになっている。ダウンロードさせた後は、そのソフトを機能させるため、またはアンインストールするためと称して金銭の支払いを迫る。
偽ウイルス対策ソフトがこれほど横行しているのは、こうした細部にこだわった仕掛けとそのしつこさによるものだとSANSの研究者は結論付けている。

なぜ偽ウイルス対策ソフトにだまされるのか？ - ITmedia エンタープライズ