De nieuwste versie van de beruchte nep-virusscanner Antivirus XP, gebruikt een agressieve strategie om gebruikers tot aanschaf van het programma over te halen. Anti-virus-1, zoals de "scareware" nu door het leven gaat, onderschept zoekopdrachten en wijzigt het HOSTS-bestand. Gebruikers van Live.com, MSN.com, Google.com en Yahoo.com die een typefout maken of op bekende termen zoeken, krijgen een gemanipuleerde pagina met zoekresultaten te zien. De resultaten wijzen zogenaamd naar bekende IT-sites met reviews van de nep-virusscanner. Dit zou gebruikers het gevoel moeten geven dat het om een betrouwbaar product gaat. In één van de nep-recensies staat zelfs dat men de betaalde versie moet gebruiken, aangezien die een betere bescherming biedt.

"Als een nep-blauw scherm en valse Windows meldingen gebruikers moesten bang maken, dan zijn de laatste strategieën gericht op diens vertrouwen en "real-life" ervaringen. Microsoft is een continu doelwit, maar het lijkt erop dat we niet meer de enige zullen zijn", zegt Subratam Biswas van het Malware Protection Center. In de nep-recensies staat dat de virusscanner bijvoorbeeld van Symantec is of delen van de Sophos anti-virus engine gebruikt. Naar alle waarschijnlijkheid zijn de nep-virusscanners het werk van Oekraïense cybercriminelen.