Het onlangs ontdekte mega-botnet van 2 miljoen computers is zeer waarschijnlijk een verzameling van verschillende botnets. Eén van de Trojaanse paarden die het botnet installeert is Hexzone, die zelf de Ransomlock Trojan downloadt. Dit Trojaanse paard gijzelt de Windows desktop en verzoekt het slachtoffer een SMS te sturen om zo weer toegang te krijgen. Een andere manier om gebruikers af te persen is het tonen van porno. Elke pagina die het slachtoffer bezoekt, eindigt op een pagina met porno. Door het wederom sturen van een SMS kan men de ongewenste content verwijderen. Hoewel Hexzone en Ransomlock verschillende Trojaanse paarden zijn, gebruiken ze dezelfde Command & Controle server om contact te maken. Ook andere malware zoals Win32.AutoIt end WIn32.3proxy zijn bij het door Finjan ontdekte botnet betrokken.

"Het bewijs van deze meerlaagse malware installatie onderstreept mijn observatie dat de meeste moderne malware niet alleen leeft, maar in plaats daarvan BotnetWebs vormen", zegt Atif Mushtaq FireEye Malware Intelligence Lab. Volgens hem is het mogelijk dat het aantal van 2 miljoen bots van meerdere botnets afkomstig is. "Het idee dat een centraal management systeem wordt gebruikt om het BotnetWeb te besturen in plaats van een los botnet is geloofwaardiger." Daar komt bij dat het aantal van 2 miljoen bots in de context van een BotnetWeb aannemelijk is. Toch houdt Mushtaq een slag om de arm, pas als Finjan de MD5 van de "parent dropper" geeft en / of de coördinaten van de Command & Controle server is er iets met zekerheid te zeggen. De botnetjager krijgt steun van virusbestrijder ESET, die van mening is dat het botnet waarschijnlijk helemaal niet zo groot is en dat het aantal dat Finjan noemt uit meerdere botnets bestaat.

Pers eerst, details later
Ook Jose Nazario van Arbor Networks laakt het ontbreken van verdere gegevens. "Zoals zo vaak het geval is met dit soort 'pers eerst, technische details ergens later' dingen, weet je niet waar je moet beginnen." Een probleem dat wordt vergroot doordat anti-virusbedrijven allemaal verschillende namen gebruiken. Aan de hand van de spaarzame details uit Finjan's rapport was het mogelijk om wat domeinnamen te achterhalen die het botnet gebruikt en allemaal door dezelfde persoon geregistreerd zijn.