A kaliforniai Santa Barbara egyetem kutatóinak 10 napig sikerült átvenniük a hatalmat a TorPig botnet felett, mindaddig míg annak készítője nem vette vissza jogos tulajdonát, módosítva a trójai kódját. Ezen rövid idő alatt a "jó fiúk" betekintést nyerhettek a zombi sereg működésébe, megfigyelve azt, hogy pontosan miként működik a botnet, és a felhasználók mennyire óvatosak internetes ténykedésük során.
Tapasztalataik alapján kimondhatjuk, hogy semennyire. 10 nap alatt ugyanis a kutatóknak 70 GB-nyi adatot sikerült ellopniuk a felhasználóktól, óránként 56 ezer új felhasználónévvel és jelszóval gazdagodva. Így végezetül körülbelül 54 ezer postafiók, több mint egymillió webes levelező és Windows profil, valamint 12 ezer FTP kapcsolat bejelentkezéséhez szükséges adatokat szerezték meg. E mellett 11 millió alkalommal figyelték meg, hogy a felhasználók milyen adatokat adnak meg magukról a weben. A gyengén beállított jelszavakra utazó TorPig botnet így a megfigyelési időszak végére körülbelül 300 ezer egyedi login információval gazdagodott. A kutatók ráadásul további ezer e-mailt üzenetet és chat-beszélgetést is le tudtak hallgatni, így sok felhasználónak az életébe nyerhettek betekintést. Ráadásul a felhasználók 28 százaléka a belépő adatait több helyen is használta, összesen 368501 weboldalon, ami nagyban megkönnyíti a tolvajoknak a további személyes információ ellopását.
A TorPig botnet azonban leginkább a felhasználók pénzére utazik, s a 10 nap alapján hatékonynak tűnik a működése. A kutatók ugyanis a megfigyelés során 410 különböző pénzügyi intézmény 8310 profiljának információit szerezték meg, amellyel becsléseik szerint a rövid időszak alatt a TorPig 83 ezer és 8,3 millió dollárral gazdagította tulajdonosát (attól függően, hogy mekkora összeget csent el az illető egyes személyektől).
A botnet átvételéhez egyébként a készítő egy apró figyelmetlensége kellett. A TorPig ugyanis egy hosszú listából választotta ki a lakhelyéül szolgáló domaineket, ám nem elég hosszúból. Így a kutatók regisztrálva az egyik domain nevet átvehették a hatalmat a hálózat felett. Később azonban ez a kiválasztási algoritmus módosult, így elvesztették a kontrollt felette. Érdekesség, hogy kiszámolták: a Conficker naponta 50 ezer új domain címet generál, így hasonló művelet esetében 91,3-182,5 millió dollárba kerülne.
