Ten eerste omdat het www.google.com gebruikt om vanaf besmette computers met de Command & Control (C&C)-server te communiceren. Om het adres van de C&C-server te vinden gebruikt de malware de DNS-gegevens van een ander domein.
Spam In tegenstelling tot andere spambots die gestolen SMTP-gegevens gebruiken om spam te versturen, de mailserver van besmette internetgebruikers gebruiken of open SMTP-relays misbruiken, past Rodecap een andere methode toe. De malware gebruikt een gigantische lijst van websites die met een PHP-backdoor gecompromitteerd zijn.
In een uur tijd wist Huessy meer dan 3500 websites te vinden die een verouderd content management systeem zoals Joomla! draaiden en waar de aanvallers het backdoor-script hadden geplaatst, waarmee ze de webserver waar de website op draait kunnen gebruiken om spam te versturen.
Nederlandse websites In veel gevallen beschikken webservers over meer rekenkracht en bandbreedte en zijn daardoor interessant voor spammers. In de
lijst staan ook 45 domeinen die op .NL eindigen. Een paar .nl domein voorbeelden uit de lijst met bekende joomla lekken:
Volgens Huessy hebben de makers van de spambot voor een goede tactiek gekozen, aangezien er tienduizenden websites zijn die verouderde CMS-software draaien. "Hierdoor vermijden de criminelen ook gewone blacklists, met name blacklists die dynamische IP-spaces van eindgebruikers bevatten (DSL/kabelabonnees) zoals Spamhaus PBL of SORBS DUL."
