Door samen te werken zijn cybercriminelen in staat om besmette machines van busladingen malware te voorzien. Het samenwerkingsverband heet een BotnetWeb, "een verzameling van heterogene Botnets die in combinatie met elkaar worden gebruikt en door één of meer nauw verbonden criminele groepen worden beheerd", aldus de definitie van Atif Mushtaq, onderzoeker bij het FireEye Malware Intelligence Lab. De onderzoeker ontdekte dat verschillende malware infecties vaak nauw verband met elkaar houden, bijvoorbeeld omdat dezelfde groep erachter zit of dat een andere groep voor het infecteren betaalt.

Het 'Virut' BotnetWeb is een voorbeeld wat het gevaar van dit soort samenwerkingsverbanden aantoont. Wie met Virut besmet raakt, heeft binnen minuten meer dan tien soorten andere malware te pakken, zoals bots, Trojaanse paarden, keyloggers en een lading nep-viruscanners. Het verwijderen van één infectie heeft daardoor weinig zin als de rest gewoon blijft staan.

Collectief
Niet alleen zorgt het "teamwerk" voor meer infecties op een systeem, vanwege de meerlaagse uitrol is het bijna onmogelijk om een bepaalde deelnemer uit te schakelen. "Tenzij de top level nodes (de generic downloaders) worden gestopt, blijven ze gewoon nieuwe of bijgewerkte malware installeren", aldus Mushtaq. Hij weet bijna zeker dat dit ook gebeurd is na het sluiten van spamhoster McColo. Meer dan 45% van alle malware die in omloop is, behoort tot een BotnetWeb.

"We weten allemaal hoe groot dit malware probleem is geworden. Als je de malware individueel bekijkt, dan is het een dreiging die computers op verschillende manieren kan beschadigen. Maar als collectief laten ze een schrikbarend beeld zien. We moeten niet vergeten dat deze Botlegers gebruikt zijn om cyberaanvallen uit te voeren op de infrastructuur van landen zoals Estland en Georgië."