In China verschijnen regelmatig nieuwe botnets voor het platleggen van websites, maar de malware bevat vaak typefouten en doet geen enkele moeite om zich te verstoppen. Dat blijkt uit een analyse van beveiligingsbedrijf Arbor Networks. De beveiliger bracht het afgelopen jaar meer dan 40 verschillende Chinese DDoS-bots in kaart. In veel gevallen delen de bots code van elkaar, wordt die op andere manieren verzameld en door onervaren malwareschrijvers aan elkaar geplakt, stelt Kurt Baumgartner van anti-virusbedrijf Kaspersky Lab.

De bots worden voornamelijk in C en C++ geschreven. Arbor zag geen bots die in Delphi, Visual Basic of C# waren gemaakt. De malware gebruikt geen geavanceerde mechanismen om zich te verbergen en vaak komen er zeer slordige typefouten voor in servicenamen en strings. De bots zelf gebruiken een zeer eenvoudige manier om zich als Windows service te installeren. Sommige gebruiken http, maar de meeste maken via 'raw' TCP verbinding met de command & controle server, die aan de domeinen van gratis DNS-aanbieders gekoppeld zijn.

In tegenstelling tot Europese of Russische botnets, vallen de Chinese botnet per keer slechts één doelwit aan en duurt een aanval gemiddeld twee uur. De voornaamste doelwitten zijn Chinese websites, maar ook Amerikaanse websites met Chinese content kunnen het doelwit zijn.