Forskare från University of California fick kontroll över ett välkänt och kraftfullt nätverk av hackade datorer i 10 dagar, för att få insikt i hur det stjäl personliga och finansiella data.

Forskarna kunde övervaka mer än 180 000 hackade datorer genom att utnyttja en svaghet inom det kommando- och kontrollnät som hackarna använde för att styra datorerna. Det fungerade bara i 10 dagar, tills hackarna uppdaterade instruktions- och kontrollinstruktionerna, enligt forskarens 13-sidiga papper.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Ändå var det tillräckligt med ett fönster för att se Torpig / Sinowals datainsamlingsstyrka. På den korta tiden samlades cirka 70 G bytes data från hackade datorer. Forskarna lagrade data och arbetar med brottsbekämpande organ som USA: s federala undersökningsbyrå, Internetleverantörer och till och med USA: s försvarsdepartement att meddela offer. Internetleverantörer har också stängt några webbplatser som brukade leverera nya kommandon till de hackade maskinerna, skrev de.

Torpig / Sinowal kan pilfera användarnamn och lösenord från e-postklienter som Outlook, Thunderbird och Eudora samtidigt som de samlar in e-postadresser i de programmen som används av spammare. Det kan också samla in lösenord från webbläsare.

Torpig / Sinowal kan infektera en dator om en dator besöker en skadlig webbplats som är utformad för att testa om datorn har omladdad programvara, en teknik som kallas för nedladdningsangrepp. Om datorn är sårbar, skadas en låg nivå av skadlig programvara kallad rootkit djupt in i systemet.

Forskarna upptäckte att Torpig / Sinowal hamnar på ett system efter att det först smittats av Mebroot, en rootkit som uppstod runt december 2007.

Mebroot infekterar en dator Master Boot Record (MBR), den första koden som en dator letar efter när du startar operativsystemet efter att BIOS körs. Mebroot är kraftfull eftersom data som lämnar datorn kan avlyssnas.

Mebroot kan också ladda ner annan kod till datorn.

Torpig / Sinowal är anpassad för att ta tag i data när en person besöker vissa webbbanker och andra webbplatser. Det är kodat för att svara på mer än 300 webbplatser, med de mest riktade som PayPal, Poste Italiane, Capital One, E-Trade och Chase Bank, säger pappret.

Om en person går till en bankwebbplats, En förfalskad blankett levereras som tycks vara en del av den legitima webbplatsen, men ber om en rad data som en bank normalt inte skulle begära, till exempel en PIN-kod (personligt identifieringsnummer) eller ett kreditkortsnummer.

Webbplatser med hjälp av SSL (Secure Sockets Layer) kryptering är inte säkert om det används av en dator med Torpig / Sinowal, eftersom den skadliga programvaran kommer fånga information innan den krypteras, skrev forskarna.

Hackers säljer vanligtvis lösenord och bankinformation på undergroundfora till andra brottslingar, som försöker dölja uppgifterna i kontanter. Även om det är svårt att exakt uppskatta värdet av den information som samlats in under de 10 dagarna, kan det vara värt mellan US $ 83 000 och $ 8,3 miljoner, säger forskningen.

Det finns sätt att störa botnets som Torpig / Sinowal. Botnetkoden innehåller en algoritm som genererar domännamn som skadlig programvara kräver för nya instruktioner.

Säkerhetsingenjörer har ofta kunnat räkna ut dessa algoritmer för att förutsäga vilka domäner malware kommer att ringa på och preregistera domänerna för att störa botnet. Det är dock en dyr process. Conficker-masken kan till exempel generera upp till 50 000 domännamn om dagen.

Registrarer, företag som säljer domänregistreringar bör spela en större roll i att samarbeta med säkerhetsgemenskapen, skrev forskarna. Men registratorer har egna problem.

"Med få undantag saknar de ofta resurser, incitament eller kultur för att hantera säkerhetsfrågor i samband med deras roller", sade papperet.