Eine Routinekontrolle war es, bei welcher NetWitness in einem Kundennetzwerk 75 GB Logs, Daten, SSL Zertifikate fand, ein Sammelsurium des „Kneber“-Botnetzes welches aus mit dem Trojaner “Zeus” infizierten PCs  besteht.

Bestohlen wurden etwa 74.000 PCs, davon etwa 68.000 Firmen PCs. Gestohlen wurden Log-in-Daten für Firmennetze, Zugangsdaten für Online-Banking, E-Mail-Accounts (Hotmail, Yahoo) Facebook,  und anderen Social-Media-Webseiten und rund 2.000 SSL-Verschlüsselungszertifikate.

Zu dem Opfern gehören ca 2500 Firmen in 200 Ländern, hierunter laut Wall Street Journal auch  der Pharmakonzern Merck, Paramount Pictures und Juniper Networks.  Der Trojaner Zeus wurde installiert, nachdem auf Links in empfangenen E-Mails geklickt wurde, welche zu manipulierten Webseiten führten.

Die Schadsoftware , welche das Botnetz erstellte, wurde von nicht einmal 10 Prozent der aktuellen Antiviren-Programme erkannt und auch die Netzwerk-Aktivität des Botnetzes wurde von entsprechender Sicherheits-Software nicht bemerkt, so das dieses Botnetz wohl bereits seit einem Jahr unbemerkt in Betrieb war.

Laut NetWitness steht ein Großteil der Infrastruktur dieses Bot Netzes in China, die Betreiber sitzen in Osteuropa und der Kommandoserver soll in Deutschland stehen.