ボット入門的な記事。ボットの全体像を知るには良いかも。
ここではもう少し詳しくボットの挙動を説明する。下は実際にテスト環境でボットの通信をキャプチャしたもの。ハーダー（Herder）と呼ばれる攻撃者がどのようにボットを外部からコントロールしているかわかる。多くのボットは感染すると特定のIRCサーバに接続を試みる。IRCサーバに接続できると、ハーダーが管理するチャネルにjoinする。ハーダーはそのチャネル経由でボットにログインすることにより侵入先PCをコントロール可能にする。攻撃者がボットにコマンド・メッセージ（単なる文字列）を送信すると、その命令通りに攻撃などを行う。

これはハーダーがボットとチャットしているところ。IRCの#d3l3tというチャネルには、ボットである「uzoar」と攻撃者である「hacker」というユーザがログインしている。「.login gr34t」はボットにログインするためのコマンド（gr34tがパスワード）。ボットは「password accepted.」という文字列を返してログインが成功したことを示す。「.about」はボットのバージョン番号を、「.sysinfo」はボットが侵入したPCのシステム情報を取得するコマンドだ。また「.syn 192.168.17.140 80 60」は192.168.17.140:80に対し60秒間SYNフラッド攻撃をさせるというもの。このように攻撃者は1つあるいは複数のコマンドを組み合わせることで、いろいろな攻撃を実現できるというわけだ。