Cyberprzestępcy wykorzystują zainfekowane urządzenia do tworzenia sieci, tak zwanych botnetów, które służą głównie do wykradania danych, dystrybucji spamu oraz ataków DDoS. Zespół CERT Polska od początku stycznia do końca sierpnia 2013 roku zidentyfikował 10 387 104 unikalnych zgłoszeń od zarażonych złośliwym oprogramowaniem komputerów będących członkami botnetów, znajdujących się w polskich sieciach. Według ekspertów niemal połowa z nich jest zainfekowana wirusem o nazwie Conficker, który został unieszkodliwiony pod koniec zeszłej dekady. Mimo to, jak pokazują statystyki, w Polsce nadal znajduje się duża liczba urządzeń, które za jego pośrednictwem, po połączeniu z Internetem atakują komputery nieposiadające zaktualizowanego oprogramowania.
Na drugim miejscu pod względem ilości botów znajduje się Virut, przeciw któremu na początku 2013 roku instytut badawczy NASK podjął działania przejmując kilkadziesiąt domen związanych z jego rozpowszechnianiem. Dzięki temu cyberprzestępcy stracili możliwość dalszego aktywnego wykorzystywania go do szkodliwej działalności. Jednak jak wynika z analizy, Virut nadal odpowiada za ponad 14 proc. zgłoszeń, a specjaliści podkreślają, że podobnie jak Conficker, może samodzielnie infekować kolejne urządzenia.
Zespół CERT Polska zwraca także uwagę na duży udział rodziny trojanów bankowych opartych na wirusie ZeuS, który wciąż stanowi realne zagrożenie dla polskich internautów. Botnety korzystające z kodu źródłowego ZeuSa są najczęściej używane przez cyberprzestępców do wyłudzania środków zgromadzonych na rachunkach bankowości elektronicznej. W analizie oprócz standardowej wersji wirusa wyróżniono również odmiany P2P oraz Citadel. Według danych łącznie ponad milion zgłoszeń pochodziło od urządzeń zarażonych przez złośliwe oprogramowanie z tej rodziny.