Botnet: Torpig

Es un tipo de malware que toma control de los equipos comprometidos para comunicarlos con un servidor de control. A este servidor envía datos robados de la víctima y a su vez recibe configuraciones con objeto de robar información y controlar la máquina infectada.

Se conecta bajo demanda o periódicamente con el servidor de control para recibir configuraciones o enviar datos robados. Interviene en la navegación web y provoca redirecciones a urls maliciosas simulando sitios legítimos como bancos, servidores de correo, etc. De esta forma logra obtener información concreta de la víctima, tales como datos de formularios de login, cuentas de correo y sitios web, servidores FTP, contraseñas de Windows, etc.

Principalmente sistemas Windows:

• Windows XP
• Windows Vista
• Windows 7
• Windows 8

La infección parte de una primera fase que sucede al visitar un servidor web malicioso o comprometido. Desde éste, se descarga un programa denominado Mebroot que modifica el sector de arranque del ordenador infectado e inicia la segunda fase de la infección. En esta segunda fase, Mebroot se conecta con un servidor de control desde donde se distribuye el malware Torpig en sí. Torpig se instala inyectándose en aplicaciones del sistema y convirtiéndolo en un “ordenador zombie” o “bot” bajo control de un servidor central. Una vez completada la infección con Torpig, el malware obtendrá datos de la máquina comprometida y los enviará al servidor de control.

https://en.wikipedia.org/wiki/Torpig