Plik wykonywalny, który Microsoft nazwał TrojanDownloader:Win32/Poison.A, daje komunikat o błędzie na komputerze nie podłączonym do internetu. Jednak gdy złośliwy kod został już pomyślnie uruchomiony, kopiuje się do folderu systemowego i stamtąd zaczyna działanie jako keylogger.
Nowoczesny system monitorowania zachowania skanera antywirusowego jest w stanie rozpoznać program po zachowaniu. Trudność stanowi element szpiegujący, który jest pobierany przez trojan downloadera. Został on utworzony na narzędziu „Poison Ivy”, które może dostarczyć ładunek bezpośrednio jako kod powłoki.
Normalnie, downloader ściąga plik wykonywalny z internetu, zapisuje go na dysku, po czym wykonuje go. Działania te powinny zaalarmować skaner monitorowania zachowań. Przykład zagrożenia wykrytego przez MMPC pokazuje, jak ważne jest, aby zainstalować program antywirusowy z monitorem zachowania.
Źródło: Heise