1. Schritt: Verbreitung

Der Begriff Bots ist abgeleitet vom Wort „Roboter“. Denn die befallenen Rechner lassen sich vom Programmierer des Codes fernsteuern wie eine Armee von Robotern. Mehrere hundert bis einige tausend Bot-Rechner zusammen bilden ein Bot-Netzwerk. In Fachkreisen wird gelegentlich auch der Begriff Zombi für einen Bot-Rechner verwendet.

An erster Stelle kommt die Verbreitung des schädlichen Codes. Am häufigsten geschieht das wie bei einem Internet-Wurm, der sich per Mail verbreitet. Auf einem infizierten Rechner sucht er nach weiteren Mailadressen und verschickt sich an diese über ein mitgebrachtes Mailprogramm weiter. Auch Trojaner werden oft für den Aufbau eines Botnets eingesetzt. Sie verbreiten sich etwa über Sicherheitslücken in Windows.

Will ein Programmierer ein Bot-Netzwerk aufbauen, passt er oft bestehende Würmer oder Trojaner an seine Bedürfnisse an. Typisch für solch einen angepassten Code ist, dass er nur wenige Schadensroutinen auf dem befallenen System ausführt. Dazu zählt der Versuch, Antiviren-Tools und Firewall-Programme lautlos zu umgehen. In der Regel löscht der Code aber keine Anwenderdateien und spioniert auch keine Daten aus. Er versucht vielmehr, sich versteckt zu halten, damit der Besitzer des PCs nicht misstrauisch wird.

Nur wenn eine Internet-Verbindung besteht, meldet sich der befallene Rechner bei einem Server an und wartet im Hintergrund auf Kommandos von seinem Programmierer. In der Regel läuft das über einen IRC-Server (Internet Relay Chat).

Ein schlagkräftiges Botnet besteht aus fünf bis 10.000 Rechnern mit einer schnellen Verbindung ans Internet. Haben sich die einzelnen Rechner am IRC-Server angemeldet, kann der Programmier von dort aus die Art und den Zeitpunkt für die Attacke festlegen. Häufig werden die Botnets für DoS-Attacken (Denial of Service) genutzt. Dabei senden sie manipulierte Anfragen an Internet-Server, womit diese für gewöhnliche Aufgaben blockiert sind. Eine gut konfigurierte Firewall kann DoS-Attacken zwar abwehren, doch der Angriff läuft ja nicht nur von einem PC, sondern von vielen tausend Rechnern aus. Die Abwehr ist somit wesentlich schwieriger. Bei DoS-Attacken, die von Botnets ausgehen, spricht man auch von DDoS-Angriffen (Distributed Denial of Service).