Was ist ein Overlay Network? Unter solch einem Netzwerk versteht man ein weiteres in sich geschlossenes Netzwerk, das über dem Ganzen schwebt. Das Ganze ist in diesem Falle das Internet selbst. Das Overlay Network ist dann im Falle der Trojaner ein Verbund aus Proxys, IRC Servern und http Servern. Diese werde so dicht miteinander verwoben, das wenn einer mal auffällt es keinen großen Abbuch tut. Dazu sind die Trojaner selbst mit einem Fall-Back-Mechanismus bestückt. Geht etwas nicht, probiert er das andere. Und nur dann, wenn der Normalweg nicht funktioniert.

Solch ein Bot-Overlay Network ist häufig zentralisiert. Das bedeutet, es gibt Dienste, die auf einer Maschine laufen, die an einem bestimmten Punkt der Erde sich befinden. Das heißt auch, fällt dieser Punkt komplett aus, steht alles. Daher ist die Redundanz auch das A und O. Also mehrere Controller, die die Aufgaben des anderen übernehmen können, sollte ein System zufällig aus dem Verbund ausscheiden.

Allerdings ist dies nicht die einzige Form. Einige dieser Overlay Netze sind selbst organisierend. Das ist so etwas Ähnliches wie Peer-2-Peer. Das Netz organisiert sich selbst. Jeder infizierte Rechner übernimmt eine Teilrolle im Internet. Er kann als Arbeiter (Worker) oder als Proxy (Vermittler) seinen Betrieb aufnehmen. Dieses Betriebsmodus wird er von Zeit zu Zeit ändern. Auf diese Weise lassen sich sogenannte Multi-Level-Architekturen bilden. Die eigentlichen Controller-Server werden nie wirklich in Aktion treten, da sie immer über mehrere Distanzen über die Proxysysteme kommunizieren werden. Auf diese Weise ist solch ein Netz schwer abzuschalten.