Ботнет — компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.
Gumblar также известный как JSRedir-R это троянская программа использует пробелы системы безопасности в дополнительных модулях для браузера, таких как PDF или Adobe Flash. Gumblar манипулирует результатами поисковых запросов системы Google search.
Festi — руткит и ботнет, созданный на его базе. Работает под операционными системами семейства Windows. Первый раз Festi попал в поле зрения компаний, занимающихся разработкой и продажей антивирусных программ, осенью 2009 года. По оценкам того времени ботнет включал в себя примерно 25.000 зараженных машин и рассылал примерно 2.5 миллиарда писем каждый день. Наибольшую активность Festi проявлял в 2011—2012 годах. Более свежие оценки, датированные августом 2012 года, отражают тот факт, что ботнет слал спам с 250.000 уникальных IP-адресов, что составляет четверть от миллиона адресов, с которых осуществляется рассылка всего спама в мире. Основная функциональность ботнета Festi — это рассылка спама и осуществление атак типа «распределённый отказ в обслуживании».
Атака программы-вымогателя CryptoLocker — кибератака с использованием программы-вымогателя CryptoLocker, которая произошла в период с 5 сентября 2013 года по конец мая 2014 года. В результате атаки была использована троянская программа, заражающая компьютеры под управлением операционной системы Microsoft Windows, и, как предполагается, данная программа была впервые размещена в Интернете 5 сентября 2013 года. Троян распространялся через заражённые вложения электронной почты, заражённые сайты и через существующий на компьютере пользователя ботнет. При заражении компьютера вредоносная программа шифрует определённые типы файлов, хранящихся на локальных и подключённых сетевых дисках, используя криптосистему с открытым ключом RSA, причём закрытый ключ хранится только на серверах управления вредоносной программой. Затем вредоносное ПО отображает сообщение, которое предлагает расшифровать данные, если платёж производится в указанный срок, и пользователю будет угрожать удаление закрытого ключа в случае истечения срока. Если этот срок не соблюдается, вредоносное ПО предлагает расшифровать данные через онлайн-сервис, предоставляемый операторами вредоносного ПО, за значительно более высокую цену в биткойнах, при этом нет никакой гарантии, что оплата приведёт к расшифровке контента.
Gameover ZeuS — троянская программа, сделанная с целью кражи банковских данных и основанная на другом трояне ZeuS. Была создана российским хакером Евгением Михайловичем Богачёвым в 2014 году. В отличие от ZeuS, новый троян использует зашифрованную систему одноранговой системы для связи между своими узлами и серверами управления и контроля, что снижает его уязвимость. Когда этот вирус заражает устройство, он устанавливает соединение с сервером, после чего он даже может сделать заражённую систему непригодной для пользования. У Gameover ZeuS есть собственный ботнет.
Torpig — троянская программа и ботнет, сделанный с целью кражи личных данных, таких как данные банковской карты, пароли и др. Был создан в 2005 году. За всё время с помощью этой программы было украдено около 500 000 данных банковских счетов. За 10-дневный период она смогла украсть данные 8310 аккаунтов. Torpig был описан как «одна из самых когда-либо созданных совершенных криминальных программ». Что примечательно, ни один русский аккаунт не был заражён этим вирусом.
Necurs — ботнет, впервые появившийся в 2012 году. Был создан для распространения вредоносных программ, в основном Locky и Dridex. Помимо них, по ботнету распространялся вирус RockLoader, созданный для загрузки программы-вымогателя Bart. Через привязанные к ботнету устройства по электронной почте распространялись все эти вредоносные программы. Всего ботнет заразил более 9 миллионов компьютеров.
Cutwail — ботнет, созданный для рассылки спама. Впервые появился в 2007 году. Пик Cutwail пришёлся на май 2009, тогда его спам составил 46,5 % от всего спама в Интернете. Всего в ботнете находилось 1,5—2 устройств которые рассылали 74 млрд сообщений в день, большинство из них находились в Бразилии, Южной Корее и США (10 %).
Kelihos — ботнет, впервые появившийся в декабре 2010 года, имел как минимум две версии. Был создан для рассылки спама канадским фармацевтическим компаниям, проведения DDoS-атак, кражи личных данных и распространения вредоносных программ, а вторая версия использовалась и для кражи средств с биткоин-кошельков. Всего в первой версии находилось 40 000—45 000 устройств, во второй — ок. 110 000. В 2017 году деятельность Kelihos прекратилась.
Grum — ботнет, был сделан для рассылки спама, в 2011 году, возможно, использовался и для распространения вредоносного ПО. Распространялся по электронной почте. Был обнаружен, как минимум, в феврале 2008 года. Серверы ботнета расположены в России, Нидерландах, Панаме, позже появились на Украине, при этом голландские и украинские серверы являлись «вторичными». Величина этого ботнета составляла от 560 тыс. до 840 тыс. устройств, из них около 120—136 тыс. активно рассылали спам.
Kraken — ботнет размером 400,000 устройств. Был сделан для рассылки спама и впервые появился в конце 2006 года. Заразил машины как минимум 50 компаний из списка Fortune 500 того времени и сумел в два раза обогнать ботнет Storm, став крупнейшим ботнетом мира. Каждый отдельный бот мог рассылать до 500 000 писем в день. Серверы ботнета находились во Франции, России и США. В своё время Kraken был малозаметен для антивирусных программ — только около 20 % машин с антивирусами могли обнаружить присутствие ботнета.
Koobface — компьютерный червь, созданный для кражи информации, распространения других вредоносных программ и создания ботнета. Впервые был обнаружен в 2008 году, однако его пик пришёлся на 2009 и 2010 годы, когда его ботнет имел размер от 400 до 800 тыс. устройств. Был создан для систем Linux, Windows и Mac OS X, имеет ряд вариаций. Известен атаками на соцсети Facebook, MySpace и Twitter.
Srizbi — ботнет, созданный для рассылки спама. Впервые появился 31 марта 2007 года. Рассылал более 60 млрд сообщений спама в день, в апреле — мае 2008 года являлся первым по рассылке спама ботнетом, в это же время его размер был равен 300, 310 или 450 тыс. ботов. Был известен за широкую рассылку видеофайлов знаменитостей порнографического характера, которые на самом деле скачивали вредоносное ПО. Ботнет содержал в своём теле руткит. Одним из авторов Srizbi является украинец под псевдонимом «vlaman».
Mariposa — ботнет, впервые появившийся в декабре 2008 года, был создан для кибермошенничества и кражи данных кредитных карт. Автором ботнета является банда DDP Team, их главой является Флоренсио Карро Руис по кличке Netkairo. Ботнет смог заразить около половины компаний из списка Fortune 1000 и не менее 40 крупных банков. В 2009 году имел от 8 до 12,7 миллионов заражённых компьютеров, находящихся в от 100 до 190 разных странах, таким образом в своё время он являлся крупнейшим ботнетом мира. Через год ботнет был нейтрализован правоохранительными органами. Всего с помощью него были украдены личные данные с более 800 000 устройств.
Nitol — ботнет, сделанный для проведения DDoS-атак. Имеет азиатское происхождение, скорее всего, был сделан в Китае. Имеет две версии, однако они практически ничем не отличаются. Обе версии являются руткитами, то есть они малозаметны для антивирусных программ. Большинство серверов обеих версий ботнета находятся в Китае.
Virut — ботнет польского происхождения размером примерно 308 000 устройств. Появился как минимум в 2006 году. На четверть из них Virut также скачал Waledac.D. Способен заражать файлы на устройствах. Наибольшее распространение ботнет получил в Египте, Индийском субконтиненте, Индонезии и Иране. Как сообщает Лаборатория Касперского, в третьей четверти 2012 года Virut был ответственен за 5,5 % всех заражений вредоносным ПО.
Bredolab — ботнет, сделанный для кражи личных данных и распространения других вредоносных программ. Начал свою работу в 2009 году. В какой-то момент мог иметь размер 30 млн устройств, хотя эта цифра может быть завышена. Он рассылал около 3,6 млрд писем спама в день. Большинство серверов Bredolab были арендованы у нидерландского хостинг-провайдера LeaseWeb.
ZeroAccess — зашифрованная троянская программа и ботнет, сделанный в основном для майнинга биткоинов, проведения кликфродов и распространения различных вредоносных программ. Начал свою деятельность в 2009 году. Сперва имел 32-битную версию, позже появилась 64-битная. Для своего распространения использует одноранговую сеть. В 2012 году был назван самым активным ботнетом. Всего существовало 2 ботнета ZeroAccess с двумя версиями у каждого, для первых двух версий использовались порты 16464 и 16465, для других 16470 и 16471. Всего было идентифицировано 18 серверов ботнета.
Silencе — группа русскоязычных хакеров. В основном атакует финансовые организации с помощью фишинговых писем с вредоносными файлами. На 2021 год личности участников неизвестны. Группа получила имя по названию собственного инструмента Silence.Downloader, который использовала для компрометации систем.
Операция Bot Roast — это операция ФБР по розыску ботоводов, взломщиков или вирусокодеров, которые устанавливают вредоносное программное обеспечение на компьютеры через Интернет без ведома владельцев, что превращает компьютер в зомби, который затем рассылает спам на другие компьютеры со взломанного компьютера, создавая ботнет или сеть зараженных ботами компьютеров. Операция была начата потому, что огромные масштабы ресурсов ботнета представляют угрозу национальной безопасности.
