Worm

Die Hauptpersonen
    T. J. Campana , Leitender Manager für Ermittlungen Digital Crimes Unit von Microsoft. Campana, der inzwischen vom Microsoft-Campus in Redmond, Washington, aus arbeitet, war der wichtigste Vertreter des Softwareriesen in der »Kabale«, der Conficker-Arbeitsgruppe.
    John Crain. Der in Großbritannien geborene Senior Director for Security, Stability, and Resiliency bei der ICANN kümmerte sich als Verbindungsmann der Organisation zur »Kabale« um die weltweite Kooperation der Top-Level-Domains. Crain lebt in Long Beach, Kalifornien.
    Andre DiMino, ein Mitbegründer der auf die Jagd nach Botnetzen spezialisierten Non-Profit-Organisation Shadowserver war einer der Ersten, der von seinem Zuhause in New Jersey aus Conficker in ein Sinkhole umleitete und den Wurm analysierte.
    Rodney Joffe, in Südafrika geborener Leiter der Computersicherheitsabteilung bei Neustar, Inc. Der in Phoenix, Arizona, lebende erfolgreiche Unternehmer hält mehrere Patente und ist ein international bekannter Experte für Internetsicherheit. Seit 2010 ist er als Berater in Cybersicherheitsfragen für das Weiße Haus tätig und seit 2009 offizieller Vorsitzender der Conficker-Arbeitsgruppe.
    Chris Lee übernahm als Doktorand an der Georgia Tech die Sinkholing-Operation der »Kabale«. Er arbeitet heute für das Department of Homeland Security, das amerikanische Heimatschutzministerium.
    Andre »Dre« Ludwig, ein im nördlichen Virginia ansässiger unabhängiger Consultant, der heute als leitender Manager bei Neustar Inc. für die Top-Level-Domain-Sicherheit zuständig ist. Ludwig war innerhalb der »Kabale« für die technische Strategie und die technische Verifikation verantwortlich und diente als Verbindungsperson zur Computersicherheitsindustrie.
    Ramses Martinez, Direktor für Informationssicherheit bei VeriSign, Inc., das von Dulles, Virginia, aus zwei der insgesamt dreizehn Rootserver des Internets betreibt.
    Phil Porras ist Programmdirektor bei SRI International in Menlo Park, Kalifornien. Er gehörte mit zu den Ersten, die Conficker untersuchten, und stand an der Spitze der Bemühungen, das Verhalten des Wurms vorherzusagen und ihn zu besiegen.
    Hassen Saidi, ein gebürtiger Algerier mit einem Doktor in Computerwissenschaften, der in Phil Porras’ Team bei SRI International hauptsächlich für das Reverse Engineering des Wurms zuständig war und die verschiedenen Conficker-Versionen sezierte und analysierte.
    Paul Twomey war während des Kampfs um die Eindämmung von Conficker CEO und Präsident der ICANN in Marina Del Ray, Kalifornien.
    Paul Vixie, ein in San Francisco lebender amerikanischer Interpionier, der lautstark Kritik an der Struktur des Internets und an den Defiziten des Windows-Betriebssystems übt. Er ist Gründer, Chairman und wissenschaftlicher Leiter des Internet Systems Consortium in Redwood City, Kalifornien.
    Rick Wesson ist CEO von Support Intelligence und Eigentümer von Alice’s Registry in San Francisco sowie ein (höchst umstrittenes) Gründungsmitglied der Conficker- »Kabale «. Auf ihn geht die Strategie zurück, die von dem Algorithmus des Wurms erzeugten Domainnamen im Voraus zu ermitteln und zu erwerben und ihn so einzudämmen.

1
    Null
    Neue Mutantenaktivität registriert.
    – X-Men; The Age of Apocalypse
    Der neue Wurm in Phil Porras’ digitaler Petrischale kündigte sich auf die übliche Weise an: eine Abfolge schwarzer Buchstaben, die über den weißen Hintergrund eines seiner drei Bildschirme huschte und die lediglich rudimentärsten Deskriptoren enthielt: Zeitpunkt des Eintreffens  … Serverart  … Ort der Herkunft  … insgesamt 19 Spalten.
    Die ersten Einträge lauteten:
    17:52:00 … Win2K-f … 20121216 7. 29
    (NET.AR): PRIMA S.A, BUENOS AIRES,
    BUENOS AIRES, AR. (DSL) …
    Es war der 20. November 2008 , kurz vor Feierabend für die meisten Kalifornier. Der Abend war kühl in Menlo Park, wo Phil in seinem Büro zunächst keine Notiz von dem Neuankömmling nahm. Auf seinen Monitoren tauchten tagtäglich unzählige digitale Infektionen auf, jede ein kurzer Eintrag in seinem Infektionsprotokoll  – genauer gesagt in seiner »Multiperspective Malware Infection Analysis Page«. Dieser Schädling war der 13 7 . an diesem Tag und hatte eine IP -Adresse (Internet-Protokoll-Adresse) aus Argentinien. Auf dem Bildschirm checkte Porras die wichtigsten Daten zu dem Schadprogramm, darunter auch die Spalte, die angab, wie vielen der diversen Antivirus-Unternehmen, die Programme