Um pesquisador da Sophos comenta no blog da empresa, em um post intitulado “às vezes coisas ruins chegam em pacotes pequenos”, que tamanho definitivamente não é documento para pragas digitais. O pesquisador dá o exemplo do cavalo de tróia Small-EAJ que, tendo apenas pouco mais de 1KB, é capaz de fazer o download do rootkit Rustock.
O Troj/Small-EAJ só consegue ser tão pequeno porque baixa da Internet os demais componentes do Rustock após infectar o sistema, servindo apenas como instalador da infecção. As pragas que baixam outros códigos maliciosos pela Internet são chamadas de downloaders e elas são usadas para diminuir o tamanho do arquivo que precisa ser espalhado para instalar a infecção. “Se o autor do vírus quiser enviar sua criação via spam, o que é muito comum atualmente, ele poderia fazer isto muito mais rápido [do que outros que usam downloaders maiores], e então deixar que os computadores infectados façam a maior parte do download”, explica o pesquisador da Sophos.
Se um usuário receber um aviso de download para um arquivo tão pequeno e confirmar, ele não terá tempo de mudar de idéia, visto que o download será finalizado imediatamente. No Brasil, a maioria dos downloaders tem um tamanho de 15 a 50KB, e alguns criminosos ainda enviam a praga digital completa (800KB ou mais) no link de infecção.
O Rustock, instalado pelo Troj/Small-EAJ, é usado para que spammers consigam enviar mensagens em massa usando os computadores infectados. Ele é capaz de se esconder, fazendo com que seus arquivos não sejam mostrados pelo Windows Explorer mesmo quando o sistema está configurado para exibir arquivos ocultos. Este tipo de praga, que possui a capacidade de “sumir”, recebe a classificação de rootkit. Rootkits são pragas complexas e geralmente difíceis de serem detectadas e removidas. O Rustock foi o primeiro rootkit a empregar estas técnicas juntamente com Additional Data Streams.
Linha Defensiva 