Nombre: Win32.Spywad.b
Tipo: Cambia el fondo del escritorio por DANGER:SPYWARE
Alias: Troj/Spywad-B, Win32.Slimad.C,Trojan-Clicker.

En un intento de embaucar al usuario a visitar ciertos sitios Web, Troj/Spywad-B muestra un archivo HTML que afirma que el sistema está plagado de programas espía. El troyano se instala de manera que consume considerables recursos del sistema.

Los archivos HTML que descarga el troyano contienen el siguiente mensaje:

DANGER: SPYWARE
Full system scan results:
3 Spyware infections
27 Spyware tracks
95 Adult-oriented websites tracks
3 Programs with probable keylogging activity
Windows recommends you the following software products to keep your PC safe

El troyano abrirá páginas Web que afirman vender productos para proteger contra programas espía.

Troj/Spywad-B se copia varias veces en la carpeta de Windows y en la carpeta del sistema de Windows usando nombres de tres letras y la extensión EXE. Estas copias pueden sobrescribir archivos de sistema con nombres con tres letras. El troyano creará la siguiente entrada en el registro para activarse al inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
<"tres letras aleatorias">
<"troyano">

El troyano descarga tres archivos HTML en la carpeta de Windows, dos como DESKTOP.HTML y POPUP.HTML y uno con un nombre de tres letras y extensión HTML. El troyano intentará colocar el archivo DESKTOP.HTML como el fondo de pantalla de Windows y hará cambios de en el registro en las siguientes ubicaciones.

**Nota** Para su eliminación automática pueden probar ejecutando la herramienta de SaTinfo llamada EliStarA.exe