Worm

Schokoladen- oder Biskuitkuchen möchte.
    Genau an diesem Punkt setzt der Programmierer der Schadsoftware an. Er ist der Kunde, der den Kuchen bestellt. Er gibt dem Küchenchef eine Liste mit seinen Anforderungen an den Kuchen und weiß aus seinen bisherigen Erfahrungen, dass der Küchenchef diese Instruktionen in einem Anhang beziehungsweise einem temporären Speicherstapel ablegt, der als »Puffer« bezeichnet wird. Der böse Programmierer weiß nun genau, wie groß dieser Puffer ist. Zusätzlich zu den Details zu dem Kuchen, den er bestellt, füttert er den Küchenchef daher unablässig mit irrelevanten Informationen. Wenn der Küchenchef unachtsam ist, so, wie es Port 445 war, bewirken die überflüssigen Daten, dass der zugewiesene Pufferspeicher überläuft und die Daten in den Anhang strömen. Mit anderen Worten, der Küchenchef überschreibt unabsichtlich seinen Pointer, das Lesezeichen, das ihm sagt, nach getaner Arbeit auf Seite 73 zurückzukehren. Stattdessen schicken ihn die Anweisungen zum Kuchen in eine völlig andere Richtung. Beispielsweise könnten sie dem Küchenchef, der ein sehr buchstabengetreuer Zeitgenosse ist und Anweisungen wie eine, nun ja, wie eine Maschine ausführt, den Befehl erteilen, einen Schlüssel zu besorgen und den Safe zu öffnen, der im Hinterzimmer der Küche steht. Diese Informationen, die gar nichts mit Anweisungen bezüglich des Kuchens zu tun haben, werden ordnungsgemäß ganz unten in dem Anhang abgelegt. Wenn der Küchenchef also mit dem Kuchen fertig ist und in seinem Anhang nachschaut, was er jetzt tun soll, wird er nicht zurück auf Seite 73 geschickt, sondern zu dem Safe im Hinterzimmer.
    Wäre ein geeigneter Schutz vorhanden, würde der Computer an diesem Punkt das eingehende Paket einfach abweisen oder sich beschweren, sprich, eine spezifische Warnung an den Computernutzer schicken, die allerdings nur sehr wenige Nutzer auch verstehen würden. Es gibt Möglichkeiten, wie der Dienst überprüfen kann, ob der von ihm zugewiesene Speicherplatz zu klein ist oder ob ein Angreifer bewusst zu viele Informationen hineingeschrieben hat, was beides einen Abbruch der Invasion bedingen würde. Allerdings muss der Dienst das an jedem einzelnen Punkt machen, und in einem komplexen Programm wie dem RPC kann es mehrere Tausend derartige Punkte geben. Die Chinesen hatten eine Stelle gefunden, die nicht ausreichend abgesichert war. Anstatt dass der RPC -Dienst den Vorgang einfach beendet und den Puffer schließt, wie das beim Tanken der Griff am Benzinschlauch tut, wenn der Tank voll ist, fährt der Computer, der Küchenchef, pflichtschuldig fort, die Daten auf dem neuen und nicht autorisierten Pfad zu verarbeiten.
    Das ist der Kern dieses Exploits. Wie alle Programme ist ein Netzwerkdienst eine Liste von Daten und Anweisungen, eine Reihe von Prozeduren, die der Computer getreulich ausführt. Der invasive Code steuert das Paket mit der Schadsoftware nun an jeden beliebigen, von seinem Programmierer bestimmten Ort, und weil Port 445 so tief im Betriebssystem vergraben liegt, verspricht ein Einbruch an dieser Stelle besonders reiche Beute. Das Schloss ist geknackt.
    Als die chinesischen Hacker den neuen Exploit auf den Markt brachten, erfuhren T. J. und sein Team sehr schnell davon  – und erkannten, dass von ihm potenziell eine große Gefahr ausging. Er war nämlich »wurmfähig«, sprich, es handelte sich um einen Exploit, über den sich ein Wurm einschleusen ließ, der sich dann weiterverbreiten und ein Botnetz aufbauen konnte. Er war in der Lage, einen »Remote Procedure Call« ( RPC ) auszuführen, mit anderen Worten, er konnte den Computer an einen externen Operator übergeben. Diese Gefahr war so schwerwiegend, dass Microsoft beschloss, ein hastig zusammengeschustertes Sicherheitsupdate für diese kritische Schwachstelle herauszugeben, MS 08-067 (Microsoft 2008  – Patch 67), und zwar außer der Reihe, also ohne erst den nächsten »Patch Tuesday« abzuwarten.
    T. J. befand sich auf einem von der Carnegie-Mellon University organisierten viertägigen Treffen der International Botnet Task Force in Arlington, Virginia, als Microsoft am 23. Oktober 2008 das Sicherheitsupdate MS 08-067 veröffentlichte und zum Download bereitstellte. Dieser Umstand gab ihm die Chance, die Sache persönlich einigen der weltweit führenden Computersicherheitsexperten zu erklären. Als ihn während des Meetings die Nachricht aus Redmond erreichte, erhob er sich zusammen mit seinem Mitarbeiter