El Microsoft Malware Protection Center encontró un troyano descargable que no posee ninguna rutina sospechosa en su estado inicial, lo cual dificulta a los análisis de los antivirus su detección.  Una vez que comienza, el pequeño programa Visual Basic carga la página web de un restaurante tibetano. El HTML de este sitio oculta código Shell que el programa descarga después en la memoria RAM y ejecuta.

Aunque el archivo ejecutable, el cual Microsoft etiquetó como TrojanDownloader:Win32/Poison.A, sólo produce un mensaje de error en una computadora sin conexión a Internet , una vez más el código malicioso sigue ejecutando exitosamente copias de sí mismo en una carpeta de sistema, y desde la cual comienza a grabar los registros.

El escáner de un moderno sistema de conducta de virus debería alertar hasta este punto. La funcionalidad espía que descarga, una vez que la computadora se conecta a Internet, se presenta como  una herramienta de integración del troyano "Poison Ivy", la cual puede proporcionar la carga directamente como código shell.

Normalmente, un descargable arroja un archivo ejecutable desde Internet, lo guarda en el disco, y lo ejecuta - actividad que debe alertar al controlador de conductas maliciosas del antivirus. En este ejemplo se muestra una vez más lo importante que es instalar un antivirus con monitor de comportamiento.