De computers die onderdeel van een botnet zijn blijven vaak nog maanden met de malware besmet nadat de server of servers van het betreffende botnet door opsporingsdiensten uit de lucht zijn gehaald of door de botnetbeheerders in kwestie zijn verlaten.

Beveiligingsbedrijf Kleissner & Associates onderzocht van vier botnets hoe lang het duurt voordat ze definitief zijn verdwenen. De reden dat aangepakte of verlaten botnets uiteindelijk verdwijnen komt doordat virusscanners de infectie op de computer herkennen, mensen hun besturingssysteem opnieuw installeren of de oude computer door een nieuwe vervangen.

Botnets

Het eerste onderzochte botnet is het Sinowal-botnet. Sinowal is een Trojaans paard dat kan worden gebruikt om geld van bankrekeningen te stelen. Op het hoogtepunt waren er 99.000 infecties per dag. In november was het aantal bots al naar 33.000 gedaald. Een maand later, in december, zouden de botnetbeheerders hebben besloten om het botnet te verlaten. Sindsdien is het aantal bots gedurende een periode van 7 maanden naar 14.000 gedaald.

Ook de ZeroAcces-malware en Conficker-worm blijken nog altijd zeer hardnekkig te zijn. ZeroAccess werd vorig jaar december door Microsoft aangepakt. Dit botnet telde op het hoogtepunt 871.000 besmette computers. Ondanks de aanpak van het botnet zijn er zeven maanden later nog altijd zo'n 300.000 computers met ZeroAcces besmet. Een soortgelijk situatie is bij de Conficker-worm zichtbaar.

Begin mei 2013 stond de teller nog op 1,6 miljoen infecties. Nu ruim een jaar later zijn er nog altijd zo'n miljoen computers met deze worm besmet, die van eind 2008 dateert. Als laatste is er het Zeus Gameover-botnet, dat in mei door de FBI, Microsoft en andere partijen werd aangepakt. Daar blijkt de operatie zeer succesvol. Dit botnet telde op het hoogtepunt 141.000 computers, maar is inmiddels bijna geheel verdwenen.