Пол Фергюсон (Paul Ferguson), специалист по расследованию инцидентов с безопасностью сетей из компании Trend Micro, утверждает, что в субботу после обеда серверы McColo включились на 12 часов и передавали в Россию информацию со скоростью 15 мегабайт в секунду. Поскольку все операции провайдера McColo были заморожены с начала прошлой недели, для передачи данных использовался резервный канал, предоставленный шведской компанией Telia Sonera. Контракт с Telia Sonera на предоставление резервного канала был заключен более года назад, как сообщила компания Giglinx, которая занимается оптовой торговлей трафиком через широкополосные каналы. Как только специалисты Telia Sonera поняли, что подключение установлено от имени уже закрытой компании, канал был разорван.

По сведениям многих специалистов в области безопасности сетей, в том числе из компаний Sophos и FireEye, IP-адрес, с которого выполнялось субботнее соединение, принадлежит компании CWIE Holding Company, которая по документам занимается процессингом кредитных карт. Зараженные компьютеры, которые ранее связывались с серверами на площадках McColo, теперь пытаются получить инструкции по рассылке спама на других серверах. В частности, одним из новых серверов, к которому теперь обращаются «зомбированные» компьютеры, стал сервер со слишком красноречивым именем abilena.podolsk-mo.ru.