Nová verze trojského koně Carberp obsahuje funkci, která umí zjistit, jaký antivir (případně jaké jiné bezpečnostní aplikace) je v počítači nainstalován a odešlě tuto informaci na "svůj server". Nesnaží se ale antivir ihned vypnout. Útočníci totiž často obcházení bezpečnostních programů do svých škodlivých kódů přidávají až dodatečně a za tuto "funkci navíc" samozřejmě musí zaplatit.
Aby tedy nemuseli platit a minimalizovali tak svoje investice, sesbírají nejprve informace o tom, jak jsou počítače, do nichž se jim podařilo již proniknout, zabezpečené. Údaje vyhodnotí a teprve pak si u "dodavatele" škodlivého kódu objednají dodatečnou funkčnost, pomocí které ošálí antiviry. A k tomu jim pomohou právě tyto statistické údaje. Proč si například kupovat funkce na zastavení antiviru AVG, když zjistím, že je pouze na 10% mnou již ovládaných počítačů?? Raději tedy zakoupím funkce na zastavení Kasperského, který je na 74% počítačů.¨
Kasperský je mimochodem v případě červa Carberp skutečně nejčastěji detekovaným bezpečnostním produktem. Podle všech indicií totiž červ pochází, stejně jako produkty Kaspersky, z ruské provenience. Autoři Carberp nabízejí jako "konkurenci" botnetu Zeus.