Régen valószínűleg jobban el kellett rejtőzni, és a néhány(száz?) megás háttértárakon kevesebb hely is volt bújócskázni.
Ma senkinek sem tűnik fel, ha egy fájl nem 2 MB hanem 2.5, amíg nem futtat egy jó checksumot. Elég egy kódfuttatást lehetővé tevő hiba a mplayerben, vlc-ben, vagy akár csak a libjpeg-ben, és onnantól kezdve már csak egy fájl terjesztéséről kell gondoskodni…
Egyébként esetünkben a kompromittált fájlban nem kell sok dolgot elrejteni. Elég annyi, ha letölti a tényleges vírust valahonnan (majd futtatja), ehhez meg elég megnézni, hogy van-e libcurl, wget, netcat, whatever… A vírus aztán elbújik bárhova, ahol nem keresed sűrűn, és onnantól csak akkor veszed észre, ha mindig olvasod a ~/.profile és a ~/.bash_profile fájlokat… (Meg ki tudja még, hogy miket, én tuti oda raknám, de valószínűleg vannak ennél jobb helyek is…)
int getRandomNumber() { return 4; } // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű. xkcd