Не виждам какво значение има колко е голям вируса. Това е имало значение в ерата на файловите вируси, когато вирусния код се е лепял към изпълнимите файлове и съответно поне докато вирусите не са се научили да hook-ват системните функции, за да крият "истинската" големина на файла, тривиално заразените файлове са разкривани благодарение на разликата в големината. Никой не е казал, че вирусът трябва да заразява изпълними файлове. Във времената на BBS-ите това е имало смисъл. Сега това би било по-скоро недостатък, защото ще позволи по-лесното разкриване на вируса. Защо трябва вируса да заразява изпълними файлове? Дори не виждам причина малуера да се саморепродуцира, след като си имаме интернет и не е толкова сложно "заразата" да става по други канали. Примерно със злонамерени сайтове сервиращи браузърни експлойти. Разпращаш тонове спам с връзка към сайта, все ще се намерят балъци. Алтернативно може да се действа и по-грубо - чрез persistent XSS уязвимости в по-известни сайтове, които сервират това в скрит iframe, ето ти пак идея. Някои хора бяха открили малоумна CSRF уязвимост в разни домашни рутери, където можеше да се подменят DNS сървърите, които раздава рутера, съответно имаше няколкостотин изгърмели клиенти на някаква мексиканска банка, които се били логнали във фалшив сайт на банката, към който сочил злия фалшив DNS сървър. Идеи колкото искаш.
Ето един друг пример - искам да пиша малуер за линукс. Малуерът по някакъв начин се сдобива с неадминистративен достъп на машината (примерно attack vector-а е злонамерен браузърен експлойт и потребителя бива примамен да отвори злонамерения сайт). Кой точно изпълним файл ще "заразя" ? Всичко в /bin и /usr/bin е root-writable, но моите права не позволяват да ги презаписвам. Няма ли да е далеч по-лесно да направя нещо друго - примерно да създам нещо съвсем невинно изглеждащо в някоя поддиректория на home директорията, примерно в ~/.dbus или ~/.mozilla, после примерно да си сложа в crontab-а това да се вика периодично? Или пък просто да модифицирам ~/.bashrc за да се изпълнява еднократно когато потребителят се логва? И моят злонамерен код няма да прави кой знае какво - просто ще се свързва с botmaster сървъра, ще взема списък с команди, които трябва да изпълни, ще ги изпълни и ще излезе. Ако няма "заповеди", злият код ще се изпълнява за милисекунди и няма да създава съмнения. Няма да се виждат странни процеси, няма да има модифицирани файлове, няма да има на пръв поглед нищо съмнително. В това състояние машината може да си работи месеци, че и години наред докато botmaster-ския сървър не реши че трябва да се прави нещо грубо (примерно пращане на масов спам или DoS атака). Да не говорим че през това време, злонамерения код може да получи нареждания да смъква и изпълнява експлойти, за да си ескалира привилегиите, съответно да инсталира по-advanced rootkit-ове, за да се подсигури машината по-добре. Пак казвам, идеи колкото искаш