Luego de una operación conjunta entre Microsoft y Kaspersky Lab en septiembre pasado, para desorganizar Kelihos, la botnet está reapareciendo con el uso de nuevas técnicas. De acuerdo a un reporte en Securelist, dirigido por Kaspersky Lab, nuevas muestras de la botnet Kelihos han sido descubiertas, y parecen ser "muy similares a la versión inicial".

Sin embargo, la investigadora Maria Garnaeva, de Kaspersky Lab, dice que la comparación de la nueva versión de Kelihos con la original, revela algunos cambios. Esto incluye el uso de un nuevo orden de operaciones para la comunicación con los controladores de la botnet y el uso de claves de cifrado actualizadas. Garnaeva nota que, mientras cambian las claves, es "bastante predecible, que si se utilizan dos diferentes claves de cifrado RSA ahora, significaría que dos grupos diferentes están controlando Kelihos actualmente. Creemos que el método más efectivo para deshabilitar una botnet es encontrando a las personas que están detrás de ella", mencionó Garnaeva, agregando: "Esperamos que Microsoft lleve su investigación hasta el final".

Aunque Kelihos no resultó tan grande, como la botnet Rustock, había infectado más de 40,000 sistemas alrededor del mundo en su apogeo, según los informes, fue capaz de enviar alrededor de 4 mil millones de correos spam cada día. La semana pasada, la Unidad de Crímenes Digitales de Microsoft nombró al ruso Andrey N. Sabelnikov, un desarrollador de software que supuestamente trabajaba como "ingeniero de software y director de proyectos en una compañía que provee firewalls, antivirus y software de seguridad", como nuevo acusado en el caso contra los operadores de botnets. Sabelnikov ha negado las acusaciones de Microsoft y dijo a la BBC: "Voy a demostrar mi inocencia". El caso está en curso.