Хороший вопрос. Дело в том, что наиболее популярные вирусы создаются группами, которые достаточно неплохо известны проф сообществу. Они уже наследили, где-то оставив косвенные или прямые улики.
Чаще всего вирусы преследуют коммерческую цель. Заразив компьютер жертв, трафик с нужной информацией утекает на определенные сервера. Не так сложно определить кто и когда этот сервер зарегистрировал/купил.
Также по потоку трафика между серверами можно определить, где находятся заинтересованные звенья цепи.
Также эксперты по тому как написан код и какие модули использует могут определить стиль написания, характерны для тех или иных сообществ.
Конечно способов технических намного больше, не все можно раскрывать.