Ifølge denne rapport fra University of California i Santa Barbara har sikkerhedsforskere overtaget kontrollen med botnettet Torpig i ti dage i starten af 2009. I løbet af de ti dage kunne forskerne registrere mere end 180.000 nye inficeringer og mere end 70 GB data som blev overført fra de inficerede maskiner.
Torpig (også kendt som Sinewal) dukkede første gang op i 2006 og er stadig i omløb på nettet. Den spredes både som en vedhæftet fil i e-mails og gennem script-kode på websider.
Og forskernes analyse viser, at programmet er ganske snedigt programmeret. Det indeholder nemlig ikke en færdig liste med domænenavne som skal kontaktes for at hente opdateringer og sende data tilbage. En sådan liste ville gøre det let for sikkerhedseksperterne at finde og spærre de pågældende domæner.
I stedet indeholder Torpig en form for tilfældigheds-generator, som selv genererer domænenavne - bl.a. ved at trække data fra søgeforespørgsler på Twitter. Den nyere Conficker-orm anvender en lignende metode.
Hvis Torpig har held med at opdatere sig selv, forsøger den efterfølgende at installere sig selv i programfiler på computeren og på harddiskens Master Boot Record. Det betyder, at Torpig aktiveres efter hver genstart allerede inden antivirus-programmer.
Torpig indeholder blandt andet en keylogger og forsøger at opfange kodeord og brugernavn til netbanken, der sendes tilbage til en af botnettets Command & Control servere. Det er en af disse servere, som forskerne havde held til at overtage i ti dage.
Det forlyder ikke, hvordan det lykkes at overtage serveren eller hvorfor forskerne ikke har brugt deres adgang til at svække eller lukke botnettet, men forskerne nævner i rapporten, at de har samarbejdet med FBI og det amerikanske forsvarsministerium.
I løbet af de 10 dage modtog Command & Control-serveren mere end 70 GB data fra zombie-maskinerne, herunder bankoplysninger og andre fortrolige data. Forskerne fik kontakt med 1,2 millioner forskellige ip-adresser, de fleste i USA, Italien og Tyskland.
