Een groot aantal organisaties waaronder Microsoft, Europol, de FBI, ESET en de Poolse CERT hebben het Dorkbot-netwerk een slag toegebracht. Dit irc-botnet wist meer dan een miljoen systemen te infecteren sinds 2011.
Besmettingen voor het botnet verliepen via Win32/Dorkbot-varianten, die in totaal meer dan een miljoen systemen in 190 landen geïnfecteerd hebben. Microsoft zou de ontwikkeling van Dorkbot al sinds 2011 volgen. Niet helemaal duidelijk is waarom nu de grootschalige actie is gehouden, maar Microsoft claimt wel in het afgelopen half jaar 100.000 nieuwe infecties waargenomen te hebben, dus mogelijk is de angst voor verdere groei debet aan de actie geweest. Bij de campagne waren onder andere Europol, Interpol, de FBI, ESET, Canadese, Albanese en Montenegrijnse autoriteiten en het Poolse en Amerikaanse CERT betrokken.
De actie was gericht tegen de infrastructuur van Dorkbot. Niet duidelijk is of er arrestaties verricht zijn en hoe groot de slag is, die is toegebracht. Waarschijnlijk zijn control&command-servers offline gehaald. Het is moeilijk botnets geheel offline te krijgen, meestal blijft de kans aanwezig dat deze weer tot leven gewekt wordt.
Dorkbot bleek vooral actief in Indonesië, India en Maleisië, hoewel de heatmap van Microsoft ook veel detecties in Europa, de VS en Brazilië toont. Besmettingen vinden plaats via NgrBot, die kwaadwillenden via ondergrondse fora aan kunnen schaffen. De kit bestaat uit software en documentatie hoe de malware in te zetten is. De communicatie en bestandsverspreiding tussen de beheerserver en de besmette systemen verloopt via irc.
De malware kan via usb-drives, chatnetwerken, socialnetworkingsites, spam en exploit kits op websites verspreid worden. Vervolgens onderschept de kwaadaardige code accountgegevens van een groot aantal diensten, waaronder Facebook, Gmail, Paypal, Steam, Twitter en YouTube. Dorkbot kan ook de opdracht krijgen van een beheerder om de toegang tot de sites van de bekende beveiligingspakketten te blokkeren, om te voorkomen dat antivirussoftware wordt bijgewerkt.
De meeste av-suites detecteren de Dorkbot-malware inmiddels. Microsoft raadt aan voorzichtig te zijn met het openen van mails en chatberichten van onbekenden, niet zomaar software van willekeurige sites, anders dan die van de ontwikkelaar, te downloaden en regelmatig antimalwaresoftware te draaien om besmetting te voorkomen.