Ботнет — компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.
Rustock — руткит и ботнет, созданный на его базе. Rustock появился в 2006 году. Ботнет функционировал до марта 2011 года.
Festi — руткит и ботнет, созданный на его базе. Работает под операционными системами семейства Windows. Первый раз Festi попал в поле зрения компаний, занимающихся разработкой и продажей антивирусных программ, осенью 2009 года. По оценкам того времени ботнет включал в себя примерно 25.000 зараженных машин и рассылал примерно 2.5 миллиарда писем каждый день. Наибольшую активность Festi проявлял в 2011—2012 годах. Более свежие оценки, датированные августом 2012 года, отражают тот факт, что ботнет слал спам с 250.000 уникальных IP-адресов, что составляет четверть от миллиона адресов, с которых осуществляется рассылка всего спама в мире. Основная функциональность ботнета Festi — это рассылка спама и осуществление атак типа «распределённый отказ в обслуживании».
Metulji — ботнет, сделанный для кражи личной информации и заразивший несколько миллионов устройств в 172 странах. Функционирует, как минимум, с 2007 года. Был обнаружен Unveillance, компанией по отслеживанию ботнетов.
Necurs — ботнет, впервые появившийся в 2012 году. Был создан для распространения вредоносных программ, в основном Locky и Dridex. Помимо них, по ботнету распространялся вирус RockLoader, созданный для загрузки программы-вымогателя Bart. Через привязанные к ботнету устройства по электронной почте распространялись все эти вредоносные программы. Всего ботнет заразил более 9 миллионов компьютеров.
Akbot — компьютерный червь, созданный для заражения компьютеров и присоединения их к ботнету. Сам ботнет использовался для DDoS-атак на IRC-серверы и охранные фирмы. Из-за одной из таких атак отключился сервер университета Пенсильвании. Всего в ботнете находилось 1,3 млн устройств.
Asprox — ботнет, впервые появившийся в 2007 году. Первоначально был создан для кражи банковской информации, позднее был модифицирован для рассылки фишинговых писем, заражения известных веб-сайтов и распространения вредоносных программ. В январе 2015 года ботнет внезапно перестал функционировать. Всего за время существования ботнета было заражено более полумиллиона страниц.
Kelihos — ботнет, впервые появившийся в декабре 2010 года, имел как минимум две версии. Был создан для рассылки спама канадским фармацевтическим компаниям, проведения DDoS-атак, кражи личных данных и распространения вредоносных программ, а вторая версия использовалась и для кражи средств с биткоин-кошельков. Всего в первой версии находилось 40 000—45 000 устройств, во второй — ок. 110 000. В 2017 году деятельность Kelihos прекратилась.
Grum — ботнет, был сделан для рассылки спама, в 2011 году, возможно, использовался и для распространения вредоносного ПО. Распространялся по электронной почте. Был обнаружен, как минимум, в феврале 2008 года. Серверы ботнета расположены в России, Нидерландах, Панаме, позже появились на Украине, при этом голландские и украинские серверы являлись «вторичными». Величина этого ботнета составляла от 560 тыс. до 840 тыс. устройств, из них около 120—136 тыс. активно рассылали спам.
Mega-D — ботнет, созданный для рассылки спама. Впервые был обнаружен в сентябре 2007 года. Распространялся по электронной почте, среди заголовков могли использоваться недавние новости, реклама фармацевтических средств или таблеток для повышения сексуальной активности мужчин, либо маскируясь под приглашения Facebook. При переходе по приглашению пользователю предложат обновить Flash Player, при обновлении на его устройство скачивается Mega-D. В 2008 году он рассылал приблизительно на 30 % больше спама, чем это делал ботнет Storm. Наибольшее распространение ботнет получил в Северной Америке и Азии. Ботнет был ответственен за треть от всего спама в Интернете, отправляя несколько миллиардов сообщений в день. До отключения ботнета количество присоединённых к нему устройств равнялось 500 тыс. Руководителем ботнета ФБР был назван Олег Николаенко.
Kraken — ботнет размером 400,000 устройств. Был сделан для рассылки спама и впервые появился в конце 2006 года. Заразил машины как минимум 50 компаний из списка Fortune 500 того времени и сумел в два раза обогнать ботнет Storm, став крупнейшим ботнетом мира. Каждый отдельный бот мог рассылать до 500 000 писем в день. Серверы ботнета находились во Франции, России и США. В своё время Kraken был малозаметен для антивирусных программ — только около 20 % машин с антивирусами могли обнаружить присутствие ботнета.
BASHLITE — семейство вредоносных программ, заражающих системы Linux и созданных для создания и развития ботнетов для DDoS-атак. Первоначально вирусы семейства были написаны группировкой Lizard Squad. Все версии были написаны на языке C. Все созданные ими ботнеты в сумме смогли заразить и присоединить к себе более 1 миллиона устройств Интернета вещей. Размеры этих ботнетов варьировались от 74 до 120 000 ботов. Наибольшее их число находилось в Бразилии, Тайване, Колумбии, США и Китае. Атаки BASHLITE были направлены против банков, телекоммуникационных компаний, правительственных учреждений Бразилии и трёх игровых компаний США.
Lethic — ботнет, созданный для рассылки спама. В июне 2011 года был ответственен за 3,1 % от всего спама в Интернете, тогда же его размер был равен 230—340 тыс. устройств. Наибольшее число заражений этим ботнетом произошло в Южной Корее, России и Индии.
Vulcanbot — ботнет размером 15 тыс. устройств, созданный в политических целях, а также для слежки за заражёнными компьютерами и проведения DDoS-атак на веб-сайты. Был сделан во Вьетнаме, вероятно, в конце 2009 года, был активен в 2010. Маскировался под программу поддержки вьетнамского языка. Одним из первых ботнетом был взломан сайт vps.org.
Srizbi — ботнет, созданный для рассылки спама. Впервые появился 31 марта 2007 года. Рассылал более 60 млрд сообщений спама в день, в апреле — мае 2008 года являлся первым по рассылке спама ботнетом, в это же время его размер был равен 300, 310 или 450 тыс. ботов. Был известен за широкую рассылку видеофайлов знаменитостей порнографического характера, которые на самом деле скачивали вредоносное ПО. Ботнет содержал в своём теле руткит. Одним из авторов Srizbi является украинец под псевдонимом «vlaman».
Mariposa — ботнет, впервые появившийся в декабре 2008 года, был создан для кибермошенничества и кражи данных кредитных карт. Автором ботнета является банда DDP Team, их главой является Флоренсио Карро Руис по кличке Netkairo. Ботнет смог заразить около половины компаний из списка Fortune 1000 и не менее 40 крупных банков. В 2009 году имел от 8 до 12,7 миллионов заражённых компьютеров, находящихся в от 100 до 190 разных странах, таким образом в своё время он являлся крупнейшим ботнетом мира. Через год ботнет был нейтрализован правоохранительными органами. Всего с помощью него были украдены личные данные с более 800 000 устройств.
Nitol — ботнет, сделанный для проведения DDoS-атак. Имеет азиатское происхождение, скорее всего, был сделан в Китае. Имеет две версии, однако они практически ничем не отличаются. Обе версии являются руткитами, то есть они малозаметны для антивирусных программ. Большинство серверов обеих версий ботнета находятся в Китае.
Virut — ботнет польского происхождения размером примерно 308 000 устройств. Появился как минимум в 2006 году. На четверть из них Virut также скачал Waledac.D. Способен заражать файлы на устройствах. Наибольшее распространение ботнет получил в Египте, Индийском субконтиненте, Индонезии и Иране. Как сообщает Лаборатория Касперского, в третьей четверти 2012 года Virut был ответственен за 5,5 % всех заражений вредоносным ПО.
Bredolab — ботнет, сделанный для кражи личных данных и распространения других вредоносных программ. Начал свою работу в 2009 году. В какой-то момент мог иметь размер 30 млн устройств, хотя эта цифра может быть завышена. Он рассылал около 3,6 млрд писем спама в день. Большинство серверов Bredolab были арендованы у нидерландского хостинг-провайдера LeaseWeb.
ZeroAccess — зашифрованная троянская программа и ботнет, сделанный в основном для майнинга биткоинов, проведения кликфродов и распространения различных вредоносных программ. Начал свою деятельность в 2009 году. Сперва имел 32-битную версию, позже появилась 64-битная. Для своего распространения использует одноранговую сеть. В 2012 году был назван самым активным ботнетом. Всего существовало 2 ботнета ZeroAccess с двумя версиями у каждого, для первых двух версий использовались порты 16464 и 16465, для других 16470 и 16471. Всего было идентифицировано 18 серверов ботнета.