Botnetbeheerders vragen 10 tot 25 cent voor een geïnfecteerde Windows computer, zo ontdekten onderzoekers van Cisco. Die gingen undercover en maakten contact met een botnetbeheerder. Daardoor kreeg men een blik in de werking van de ondergrondse botnetmarkt. De netwerkgigant besloot tot het onderzoek over te gaan nadat het bij een klant besmette machines had schoongemaakt. "Dit gaf ons een kans om te zien wat botnetbeheerders motiveert." Geld lijkt de voornaamste drijfveer. De botnetbeheerder vertelde dat hij onlangs 800 dollar had verdiend door een botnet van 10.000 computers te verkopen. Hoewel hij ook iemand kende die 5000 tot 10.000 dollar per week via phishingaanvallen verdiende.

In plaats van exploits te gebruiken om zijn botnet uit te breiden, paste hij social engineering toe. Via MSN en andere Instant Messaging programma's is het eenvoudig om 10.000 gebruikers tegelijkertijd met een "check out this cool software" bericht en link te spammen. Daarbij reageert tenminste één procent. Volgens de botnetbeheerder die de Cisco onderzoekers spraken, begrijpt slechts 20% van de beheerders de botnetcode die ze via online fora ontvangen. Verder zou drie tot vijf procent de eigen botnetcode schrijven.

Bewustzijn
"Iedereen met een beetje computerkennis kan een botnet beheren. Het is niet nodig om de code te begrijpen, of kennis van netwerken te hebben", zo stellen de onderzoekers. Die erkennen het belang van patchen, maar vinden dat het onderwijzen van gebruikers de sleutel is.

"Meestal patchen systeembeheerders en gebruiken een intrusion prevention system (IPS) om tegen exploits te beschermen. Beide methoden zijn in de meeste gevallen effectief, maar geen één biedt bescherming tegen een niet opgevoede gebruiker." Zoals gebruikers die hun machines mee naar huis nemen of die alles openen wat los en vast zit. "Als er geen beleid is of gebruikers het belang niet begrijpen om willekeurige bestanden niet te openen, dan heeft het weinig zin dat systeembeheerders machines patchen."