Botnet czyli sieć przejętych przez hakerów komputerów i serwerów został stworzony przy użyciu konia trojańskiego DNSChanger wraz z innym złośliwym kodem oraz rootkitem Alureon. Objął on 4 mln komputerów na całym świecie, działających zarówno w systemie operacyjnym Windows jak i MacOS. Najwięcej z nich - 25 proc. - znajdowało się w USA, zaś około 18 proc. w Europie. Złośliwy kod i trojany dostawały się do komputerów ofiar poprzez e-maile i zainfekowane strony internetowe.

Według magazynu Computerworld, hakerzy posługując się botnetem stworzyli mechanizm oszustwa zwany "clickjacking" - DNSChanger podmieniał w komputerze użytkowników adres IP serwera DNS, przez który następował kontakt z internetem, na adres IP serwera prowadzonego przez hakerów. Serwer ten łączył z domenami i stronami przypominającymi rzeczywiste. Oprócz kradzieży np. wykradania numerów i danych kart kredytowych, hakerzy duże zyski ciągnęli z ogłoszeń online, w które - w wyniku ich działań - nieświadomi użytkownicy masowo klikali oraz z rozsyłania spamu. W ciągu 4 lat właściciele botnetu zarobili na nim około 14 mln dolarów.

Botnet zniszczono 9 listopada 2011 r.; w wyniku wspólnej akcji FBI, policji estońskiej i rosyjskiej, Departamentu Sprawiedliwości USA, firm bezpieczeństwa oraz naukowców z University of Alabama aresztowano kierujących botnetem 6 Estończyków i Rosjanina.

Pozostał jednak problem setek tysięcy użytkowników, którzy nie mogli kontaktować się z internetem inaczej niż przez serwery DNS założone przez przestępców. Aby pomóc tym użytkownikom i nie odcinać ich od internetu organizacja non-profit Internet Systems Consortium (ISC) zgodziła się podmienić przestępcze serwery DNS i obsługiwać je przez 120 dni, do 8 marca 2012. Miało to dać czas dostawcom dostępu do internetu i samym ofiarom na zorientowanie się, że ich komputery kontaktują się z siecią poprzez niewłaściwe serwery i usunięcie problemu.

Jak przypomniała firma ESET, 8 marca upływa termin utrzymywania zastępczych serwerów DNS przez Internet Systems Consortium i po tej dacie zostaną one wyłączone. Nadal nie wiadomo ile komputerów zostało zainfekowanych DNSChangerem w Europie i ile należało do botnetu. Niemieckie Federalne Biuro do spraw Bezpieczeństwa Technologii Informacyjnych (BSI) uruchomiło specjalną stronę internetową (http://www.dns-changer.eu/en/check.html) na której można sprawdzić komputer pod kątem prawidłowości używanego serwera DNS. Eksperci bezpieczeństwa twierdzą że DNSCangera można się pozbyć z systemu stosując większość używanych obecnie programów antywirusowych.