Ботнет — компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.
Storm — троянская программа и ботнет, созданный для кражи личных данных. Начал своё распространение 19 января 2007 года и за короткий срок атаковал как минимум 1,6 млн компьютеров в более чем 80 странах, включив их в ботнет. Он способен заражать системы Windows 2000, Windows XP и Windows Vista. Всего в ботнете находилось от 1 до 10 или даже 50 млн компьютеров, общая их мощность была сравнима с мощностью суперкомпьютера. Позже у вируса появился ряд вариаций, более поздние из которых обрели свойства руткитов.
Metulji — ботнет, сделанный для кражи личной информации и заразивший несколько миллионов устройств в 172 странах. Функционирует, как минимум, с 2007 года. Был обнаружен Unveillance, компанией по отслеживанию ботнетов.
Necurs — ботнет, впервые появившийся в 2012 году. Был создан для распространения вредоносных программ, в основном Locky и Dridex. Помимо них, по ботнету распространялся вирус RockLoader, созданный для загрузки программы-вымогателя Bart. Через привязанные к ботнету устройства по электронной почте распространялись все эти вредоносные программы. Всего ботнет заразил более 9 миллионов компьютеров.
Akbot — компьютерный червь, созданный для заражения компьютеров и присоединения их к ботнету. Сам ботнет использовался для DDoS-атак на IRC-серверы и охранные фирмы. Из-за одной из таких атак отключился сервер университета Пенсильвании. Всего в ботнете находилось 1,3 млн устройств.
Asprox — ботнет, впервые появившийся в 2007 году. Первоначально был создан для кражи банковской информации, позднее был модифицирован для рассылки фишинговых писем, заражения известных веб-сайтов и распространения вредоносных программ. В январе 2015 года ботнет внезапно перестал функционировать. Всего за время существования ботнета было заражено более полумиллиона страниц.
Cutwail — ботнет, созданный для рассылки спама. Впервые появился в 2007 году. Пик Cutwail пришёлся на май 2009, тогда его спам составил 46,5 % от всего спама в Интернете. Всего в ботнете находилось 1,5—2 устройств которые рассылали 74 млрд сообщений в день, большинство из них находились в Бразилии, Южной Корее и США (10 %).
Kelihos — ботнет, впервые появившийся в декабре 2010 года, имел как минимум две версии. Был создан для рассылки спама канадским фармацевтическим компаниям, проведения DDoS-атак, кражи личных данных и распространения вредоносных программ, а вторая версия использовалась и для кражи средств с биткоин-кошельков. Всего в первой версии находилось 40 000—45 000 устройств, во второй — ок. 110 000. В 2017 году деятельность Kelihos прекратилась.
Grum — ботнет, был сделан для рассылки спама, в 2011 году, возможно, использовался и для распространения вредоносного ПО. Распространялся по электронной почте. Был обнаружен, как минимум, в феврале 2008 года. Серверы ботнета расположены в России, Нидерландах, Панаме, позже появились на Украине, при этом голландские и украинские серверы являлись «вторичными». Величина этого ботнета составляла от 560 тыс. до 840 тыс. устройств, из них около 120—136 тыс. активно рассылали спам.
Mega-D — ботнет, созданный для рассылки спама. Впервые был обнаружен в сентябре 2007 года. Распространялся по электронной почте, среди заголовков могли использоваться недавние новости, реклама фармацевтических средств или таблеток для повышения сексуальной активности мужчин, либо маскируясь под приглашения Facebook. При переходе по приглашению пользователю предложат обновить Flash Player, при обновлении на его устройство скачивается Mega-D. В 2008 году он рассылал приблизительно на 30 % больше спама, чем это делал ботнет Storm. Наибольшее распространение ботнет получил в Северной Америке и Азии. Ботнет был ответственен за треть от всего спама в Интернете, отправляя несколько миллиардов сообщений в день. До отключения ботнета количество присоединённых к нему устройств равнялось 500 тыс. Руководителем ботнета ФБР был назван Олег Николаенко.
BASHLITE — семейство вредоносных программ, заражающих системы Linux и созданных для создания и развития ботнетов для DDoS-атак. Первоначально вирусы семейства были написаны группировкой Lizard Squad. Все версии были написаны на языке C. Все созданные ими ботнеты в сумме смогли заразить и присоединить к себе более 1 миллиона устройств Интернета вещей. Размеры этих ботнетов варьировались от 74 до 120 000 ботов. Наибольшее их число находилось в Бразилии, Тайване, Колумбии, США и Китае. Атаки BASHLITE были направлены против банков, телекоммуникационных компаний, правительственных учреждений Бразилии и трёх игровых компаний США.
Waledac — ботнет, сделанный для рассылки спама. Достиг своего пика в 2009 году, входил в десятку крупнейших ботнетов мира. За трёхнедельный период ботнет разослал 651 млн сообщений только по Hotmail. По оценкам за некоторое время до деактивации ботнет рассылал 1,5 млрд сообщений в день.
Koobface — компьютерный червь, созданный для кражи информации, распространения других вредоносных программ и создания ботнета. Впервые был обнаружен в 2008 году, однако его пик пришёлся на 2009 и 2010 годы, когда его ботнет имел размер от 400 до 800 тыс. устройств. Был создан для систем Linux, Windows и Mac OS X, имеет ряд вариаций. Известен атаками на соцсети Facebook, MySpace и Twitter.
Lethic — ботнет, созданный для рассылки спама. В июне 2011 года был ответственен за 3,1 % от всего спама в Интернете, тогда же его размер был равен 230—340 тыс. устройств. Наибольшее число заражений этим ботнетом произошло в Южной Корее, России и Индии.
Vulcanbot — ботнет размером 15 тыс. устройств, созданный в политических целях, а также для слежки за заражёнными компьютерами и проведения DDoS-атак на веб-сайты. Был сделан во Вьетнаме, вероятно, в конце 2009 года, был активен в 2010. Маскировался под программу поддержки вьетнамского языка. Одним из первых ботнетом был взломан сайт vps.org.
Srizbi — ботнет, созданный для рассылки спама. Впервые появился 31 марта 2007 года. Рассылал более 60 млрд сообщений спама в день, в апреле — мае 2008 года являлся первым по рассылке спама ботнетом, в это же время его размер был равен 300, 310 или 450 тыс. ботов. Был известен за широкую рассылку видеофайлов знаменитостей порнографического характера, которые на самом деле скачивали вредоносное ПО. Ботнет содержал в своём теле руткит. Одним из авторов Srizbi является украинец под псевдонимом «vlaman».
Mariposa — ботнет, впервые появившийся в декабре 2008 года, был создан для кибермошенничества и кражи данных кредитных карт. Автором ботнета является банда DDP Team, их главой является Флоренсио Карро Руис по кличке Netkairo. Ботнет смог заразить около половины компаний из списка Fortune 1000 и не менее 40 крупных банков. В 2009 году имел от 8 до 12,7 миллионов заражённых компьютеров, находящихся в от 100 до 190 разных странах, таким образом в своё время он являлся крупнейшим ботнетом мира. Через год ботнет был нейтрализован правоохранительными органами. Всего с помощью него были украдены личные данные с более 800 000 устройств.
Nitol — ботнет, сделанный для проведения DDoS-атак. Имеет азиатское происхождение, скорее всего, был сделан в Китае. Имеет две версии, однако они практически ничем не отличаются. Обе версии являются руткитами, то есть они малозаметны для антивирусных программ. Большинство серверов обеих версий ботнета находятся в Китае.
Bredolab — ботнет, сделанный для кражи личных данных и распространения других вредоносных программ. Начал свою работу в 2009 году. В какой-то момент мог иметь размер 30 млн устройств, хотя эта цифра может быть завышена. Он рассылал около 3,6 млрд писем спама в день. Большинство серверов Bredolab были арендованы у нидерландского хостинг-провайдера LeaseWeb.
ZeroAccess — зашифрованная троянская программа и ботнет, сделанный в основном для майнинга биткоинов, проведения кликфродов и распространения различных вредоносных программ. Начал свою деятельность в 2009 году. Сперва имел 32-битную версию, позже появилась 64-битная. Для своего распространения использует одноранговую сеть. В 2012 году был назван самым активным ботнетом. Всего существовало 2 ботнета ZeroAccess с двумя версиями у каждого, для первых двух версий использовались порты 16464 и 16465, для других 16470 и 16471. Всего было идентифицировано 18 серверов ботнета.