ちょっと前はC&Cサーバとの通信はIRCで指図されていたけど、最近はHTTPでの通信が主流らしい。HTTPならURLフィルタでかかるけど、URLフィルタがホワイトリスト型じゃないから、検知は難しいよね。

セキュリティ企業の米サンベルトソフトウエアは2010年1月27日、Webベースの「ボットネット」が増えていることを報告した。以前は、ボットネットの通信にはIRCを使うことがほとんどだったが、現在ではWebで使用するHTTPが主流になっているという。
ボットネットとは、ウイルス（ボット）に感染したパソコンで構成されるネットワーク（グループ）。攻撃者は、中継サーバー（C&Cサーバー／コマンド・アンド・コントロール・サーバー）を経由して、ボットネットを構成するパソコンに命令を送信。パソコン内の情報を盗んだり、他のコンピューターへの攻撃や迷惑メールの踏み台に悪用したりする。

Webベースの「ボットネット」が急増中、半年で2倍に | 日経 xTECH（クロステック）