O Troj/Small-EAJ só consegue ser tão pequeno porque saca da Internet os demais componentes do Rustock após infectar o sistema, servindo apenas como instalador da infecção. As pragas que sacar os outros códigos maliciosos pela Internet são chamadas de downloaders e elas são usadas para diminuir o tamanho do ficheiro que precisa ser espalhado para instalar a infecção. “Se o autor do vírus quiser enviar a sua criação via spam, o que é muito comum actualmente, ele poderia fazer isto muito mais rápido [do que outros que usam downloaders maiores], e então deixar que os computadores infectados façam a maior parte do download”, explica o pesquisador da Sophos.
Se um utilizador receber um aviso de download para um ficheiro tão pequeno e confirmar, ele não terá tempo de mudar de ideia, visto que o download será finalizado imediatamente. A maioria dos downloaders tem um tamanho de 15 a 50KB, e alguns criminosos ainda enviam a praga digital completa (800KB ou mais) no link de infecção.
O Rustock, instalado pelo Troj/Small-EAJ, é usado para que spammers consigam enviar mensagens em massa usando as máquinas infectadas. Ele é capaz de se esconder, fazendo com que os seus ficheiros não sejam apresentados pelo Windows Explorer mesmo quando o sistema está configurado para exibir os ficheiros e pastas ocultos. Este tipo de praga, que possui a capacidade de “desaparecer”, recebe a classificação de rootkit. Rootkits são pragas complexas e geralmente difíceis de serem detectadas e removidas. O Rustock foi o primeiro rootkit a empregar estas técnicas juntamente com Additional Data Streams.
