Analytik společnosti Sophos Dmitry Samosseiko uvedl, že podvodníci si našli způsob, jak své nabídky propagovat pomocí propracovaných „affiliate“ sítí, které uživatele přivádějí na tyto weby. Affiliate programy jsou samozřejmě jako takové zcela legitimní, Samosseiko ovšem tvrdí, že v Rusku se mnohé pohybují na podvodné bázi (aniž si toho všichni zúčastnění musí být vědomi). V Rusku jsou dnes tyto potenciálně podvodné sítě známé jako „partnerka“. Nový člen se do nich obvykle musí přihlásit přes fóra, která vyžadují pozvání (tj. primárně chráněná heslem). Poté dotyčný obdrží seznam serverů, které má propagovat.
Příslušné webové servery mohou fungovat různě – přímo se snaží distribuovat malware nebo něco prodávají. Stejně variabilní jsou i postupy jejich „promotérů“ - třeba různé triky se SEO. Rozhoduje ekonomika, všem zúčastněným v tomto podvodném řetězci se jejich aktivity musí vyplatit. Sophos sledoval třeba fungování partnerky RefreshStats. Jedná se o síť, která má lákal lidi na web, kde si mají stáhnout určitý „videokodek“ (ve skutečnosti jde o falešný antivirus). Stránky v rámci affiliate sítě tedy obvykle lákají na přehrání videa, které ovšem přehrát nejde, protože chybí kodek – atd.
Samosseiko uvádí, že se jim podařilo proniknout přímo do systému. Nějaký z účastníků sítě si na „provizích“ za měsíc vydělal přes 6 000 dolarů, jiný dostával 25 dolarů za každý nainstalovaný falešný antivirus.
Americký Computerworld v této souvislosti cituje i společnost Panda Security, podle níž je falešnými antiviry každý měsíc infikováno až 35 milionů PC. Z 200 000 vzorků shromážděných falešných antivirů jich 80 % bylo modifikacemi 10 hlavních podvodných produktů tohoto typu.