Zazwyczaj twórcy sieci botów (nazywanej także C&C) preferowali infekcję komputerów w krajach zachodnich, takich jak USA, Wielka Brytania, Niemcy, Włochy, Hiszpania czy Francja. Infekcje w innych krajach, takich jak Polska zazwyczaj były spowodowane działaniami na wielką skalę, zainfekowane komputery były wykorzystywane głównie do wysyłania spamu. Istnienie botnetu obejmującego wyłącznie polskie maszyny było zaskoczeniem dla badaczy, którzy dotarli do źle zabezpieczonego serwera kontroli sieci botów na Ukrainie (Org: Tavria Host Network, dostawca łącza: PAN-SAM Ltd.).

Serwer kontrolujący sieć nie posiadał praktycznie żadnego zabezpieczenia zebranych danych, operator botnetu nie zadbał nawet o zablokowanie dostępu do katalogów konfiguracyjnych i składowania danych. Obecnie sieć ta infekuje maszyny za pomocą nowego wariantu oprogramowania (TROJ_TDSS.VAD), podobnie jak inne botnety SpyEye. Oznacza, że oprogramowanie to pochodzi od tego samego dostawcy i sieć ta jest częścią podziemnego biznesu w modelu opłat za instalację PPI (ang. pay-per-install). Jest to kolejne stadium ewolucji podziemnego oprogramowania, które stało się obecnie zorganizowanym biznesem, biorącym wzór z komercyjnych rozwiązań: posiada komercyjną umowę licencyjną z obostrzeniami, pobierane są opłaty za rzeczywiście wykorzystane zasoby i wymagana jest aktywacja oprogramowania.

1833 komputery, 400 MB informacji

Badaczom udało się pobrać około 400 MB zebranych danych, wśród których były loginy i hasła do serwisów bankowości elektronicznej, serwisów społecznościowych, a także do portali związanych z pracą. Dane dotyczące serwisów bankowości elektronicznej objęły m.in. loginy i hasła do serwisów, informacje o cookie i innych parametrach (np. referrer, identyfikacja przeglądarki) umożliwiających przejęcie sesji. Pozyskanie większości danych do bankowości elektronicznej nastąpiło przez przechwycenie funkcji HttpSendRequestW w przeglądarce Internet Explorer. Podobnie jak w przypadku botnetu ZeuS, użytkownicy Internet Explorera są najbardziej narażeni na atak, gdyż praktycznie każdy moduł złośliwego oprogramowania zawiera wtyczki do tej przeglądarki, a narzędzia do przechwytywania danych z Opery czy Firefoksa są osobno płatne i stosunkowo rzadkie.

Badana sieć zawierała 1833 zarejestrowane maszyny, z czego 546 było online w chwili dotarcia do statystyk. Oznacza to, że przestępcom udało się zarazić około dwóch tysięcy maszyn działających w polskich domach i małych firmach. Rozmiar sieci wskazuje na to, że przestępcy dobrze opracowali dzielenie zasobów, by uzyskać ciągłość pracy podziemnego biznesu. Filip Demianiuk, Technical Manager dla obszaru Europy Wschodniej w firmie Trend Micro mówi: "Najbardziej prawdopodobnym sposobem zarażenia było wykorzystanie zainfekowanych polskich stron internetowych lub przekierowanie z innej sieci botów do SpyEye. Podejrzewamy jednak, że ta grupa przestępcza dysponuje podobnymi sieciami w innych krajach, ale oddziela je dla zmniejszenia ryzyka wykrycia i zablokowania wszystkich botnetów naraz. Nam udało się dostać do części infrastruktury obejmującej Polskę".