Botnet czyli sieć przejętych przez hakerów komputerów i serwerów został stworzony przy użyciu konia trojańskiego DNSChanger wraz z innym złośliwym kodem oraz rootkitem Alureon. Objął on 4 mln komputerów na całym świecie, działających zarówno w systemie operacyjnym Windows jak i MacOS. Najwięcej z nich - 25 proc. - znajdowało się w USA, zaś około 18 proc. w Europie. Złośliwy kod i trojany dostawały się do komputerów ofiar poprzez e-maile i zainfekowane strony internetowe.
Według magazynu Computerworld, hakerzy posługując się botnetem stworzyli mechanizm oszustwa zwany "clickjacking" - DNSChanger podmieniał w komputerze użytkowników adres IP serwera DNS, przez który następował kontakt z internetem, na adres IP serwera prowadzonego przez hakerów. Serwer ten łączył z domenami i stronami przypominającymi rzeczywiste. Oprócz kradzieży np. wykradania numerów i danych kart kredytowych, hakerzy duże zyski ciągnęli z ogłoszeń online, w które - w wyniku ich działań - nieświadomi użytkownicy masowo klikali oraz z rozsyłania spamu. W ciągu 4 lat właściciele botnetu zarobili na nim około 14 mln dolarów.
Botnet zniszczono 9 listopada 2011 r.; w wyniku wspólnej akcji FBI, policji estońskiej i rosyjskiej, Departamentu Sprawiedliwości USA, firm bezpieczeństwa oraz naukowców z University of Alabama aresztowano kierujących botnetem 6 Estończyków i Rosjanina.
Pozostał jednak problem setek tysięcy użytkowników, którzy nie mogli kontaktować się z internetem inaczej niż przez serwery DNS założone przez przestępców. Aby pomóc tym użytkownikom i nie odcinać ich od internetu organizacja non-profit Internet Systems Consortium (ISC) zgodziła się podmienić przestępcze serwery DNS i obsługiwać je przez 120 dni, do 8 marca 2012. Miało to dać czas dostawcom dostępu do internetu i samym ofiarom na zorientowanie się, że ich komputery kontaktują się z siecią poprzez niewłaściwe serwery i usunięcie problemu.
Jak przypomniała firma ESET, 8 marca upływa termin utrzymywania zastępczych serwerów DNS przez Internet Systems Consortium i po tej dacie zostaną one wyłączone. Nadal nie wiadomo, ile komputerów zostało zainfekowanych DNSChangerem w Europie i ile należało do botnetu. Niemieckie Federalne Biuro do spraw Bezpieczeństwa Technologii Informacyjnych (BSI) uruchomiło specjalną stronę internetową, na której można sprawdzić komputer pod kątem prawidłowości używanego serwera DNS. Eksperci bezpieczeństwa twierdzą że DNSCangera można się pozbyć z systemu stosując większość używanych obecnie programów antywirusowych.
