我将通过思考我知道的一些不同的事情来尝试这个问题。不要将此作为实际在该领域或任何领域工作的专业人士的建议。写这篇文章时考虑到了我听说过的僵尸网络，而不是那个具体的。我所听到的现在可能具有历史意义。基本上，这不是一个很好的答案。考虑到这些事情...

首先，大多数传统的僵尸网络被视为来自不同类型人的三个实体：客户端、主客户端和服务器。客户端继续攻击受害者，服务器发出命令，而主客户端只是一个处理服务器的漂亮接口。将受害者机器上的可执行文件作为服务器，允许客户端连接和控制它是许多“骗子”所做的，但由于体面的防火墙无处不在，因此在 2012 年毫无价值。因此，僵尸网络使用一种称为“反向连接”的各种类型的系统。

所以如果你想关闭一个僵尸网络，你会攻击服务器，从而扼杀主客户端向受害者发出命令的能力。在纸上听起来很棒，但当你去应用它时就不那么好了。例如，很多僵尸网络都是 P2P 的，所以没有集中控制，或者至少不是一个容易定位的。有些人可以检测到服务器何时被关闭，然后在其他地方自动启动一个新服务器。您可以让服务器管理服务器管理服务器，每一步都通过伪装间接层完成。你明白了。

许多僵尸网络具有更新功能。也就是说，服务器可以对受感染机器上的客户端可执行文件进行升级。例如，这些更新可能有绕过较新的启发式扫描仪的新方法。因此，消除僵尸网络的一种方法是控制服务器并发布更新，用所有受害者的空可执行文件替换受感染的客户端代码。只是一个想法...

不久前我读了赛门铁克的一本书（忘记了名字）。它详细介绍了反恶意软件公司将易受攻击的机器连接到互联网的过程，纯粹是为了被感染，这样他们就可以检查周围漂浮的东西。因此，也许一个流行的僵尸网络会感染其中一台机器，然后公司可以检查命令的来源。自然这样的命令会经过几十层间接，但这是一个开始，对吧？

这是另一个想法：也许这些公司让一个人进入了开发这种僵尸网络的领域。私人论坛之类的。Crackers 喜欢吹嘘自己的实力，将自己的所有成就归结为自我之旅。很明显这对他们来说会出错。

此外，你有不同类别的人写这些讨厌的东西。牧民、研究人员等。老实说，我不认为他们所有人都适合这一点，但这是看待它的好方法。因此，可能有多个责任人，这使永久删除变得复杂。

需要一个技术高超的人来创造一个新的方面，然后几十个脚本小子在他们的恶意软件上使用，比如僵尸网络客户端。例如，RunPE 可能是由一个无意感染的极客实现的，但随后被孩子们使用，因为该极客提供了一个易于使用的界面，孩子们可以理解。

因此，当您确实找到了对僵尸网络负责的人时，毫无疑问，很多贡献者都会摆脱困境。你主要怪谁？任何人的代码都在其中使用，并且这样的代码足够具体，可以/仅/用于邪恶目的？还是只是主要的编码员？我不知道说实话。

很抱歉这次乱跑。我只是在思考僵尸网络一般会如何被删除=）

编辑：要回答您的第二个问题，安全更新可以使恶意软件完全无法通过系统中的一个小调整来操作。恶意软件通常高度特定于某些设置。

Windows 是恶意软件的首要目标，因此微软作为它的官方更新者意味着他们有很大的能力来摆脱僵尸网络客户端。不仅通过使僵尸网络客户端因系统更改而无法操作，而且通过更新其安全软件（如恶意软件删除工具）来挑选此类恶意软件。