Um procedimento para identificar as estações de trabalho que executam o código malicioso é implementar regra no firewall que registre as conexões ao servidor de e-mail, sem bloquear as conexões, e verificar as estações de trabalho que geraram maior quantidade de conexões em determinado período de tempo. Esse tipo de procedimento pode ser executado por equipamentos de firewall com capacidade de filtragem de pacotes.
Equipamento de firewall que identifica tráfego na camada de transporte é capaz de bloquear o envio de e-mails por meio do uso do protocolo de transporte UDP (User Datagram Protocol).
Rootkit é um programa que instala novos códigos maliciosos, para assegurar acesso futuro em um computador infectado, e remove evidências em arquivos de logs.
O Trojan downloader, um programa que executa ações maliciosas sem o conhecimento do usuário, realiza download de outros códigos maliciosos na Internet e instala-os no computador infectado sem o consentimento do usuário.