なぜ、こうなるか、高機能のひとつのウイルス（BlasterやNetsky.P）などひとつで実装すると、それがイエローアラートやレッドアラートになってすぐ対応されます。

そうではなく、小さなLowなウイルスを適宜使うことで、アウトブレイクにもならず、必要な機能だけを盛り込むことが出来ます

そうやって、ボットネット作成者はアウトブレイクをせずに最終的に機能を実装していくのです。

従来、ウイルスは単体で動作するものがほとんどだった。感染機能を持つウイルスに、例えば「情報を盗む」といった悪質な機能も実装されていた。この場合には、感染したウイルスを解析すれば、その危険性や被害の程度を調べること（脅威分析すること）ができた。
ところが最近では、感染後に、攻撃者が用意したサーバーから別のウイルスコードをダウンロードして展開し、実行するタイプのダウンローダーが増えているという（図2）。