Worm

verschiedenen Austauschprotokollen aus. Sie wollen nur, dass das Ding funktioniert. Also ließ man sich bei Microsoft einen Weg einfallen, ausführbare Programme und Daten in einer DLL zu bündeln, was ihren reibungslosen Austausch zwischen Computern in unterschiedlichen Netzwerken ermöglicht. Einmal im System, folgte der (jetzt als DLL vorliegende) neue Wurm einem standardisierten Pfad. Er wurde zu svchost.exe (kurz für »Service Host«) geleitet, einer Art Anmeldestelle für eingehende Dateien dieses Typs, woraufhin svchost die »LoadLibrary«-Funktion ausführte, die genau das tut, was der Name besagt, nämlich die neue DLL -Datei hochladen.
    Würde der Wurm irgendeiner legitimen Funktion dienen, wäre er jetzt entweder initialisiert und an den Computernutzer übergeben worden oder er hätte nicht initialisiert werden können und einen Tritt in den Hintern bekommen. Letzteres schien auch passiert zu sein. Als die DLL eine Zeitüberschreitung verursachte, meldete svchost einen Timeout-Fehler und brach den Ladevorgang ab. Und genau das war die falsche Fährte. Nichts deutete darauf hin, dass sonst noch irgendetwas passiert wäre. Für die meisten Leute, selbst solche, die ihr System sehr sorgfältig beobachten, sah es so aus, als hätte das eingehende Paket nicht initialisiert werden können und sei abgewiesen worden.
    Natürlich war der Wurm keineswegs verschwunden, wie Hassen sehr wohl wusste. Er hatte vielmehr einen ziemlich gemeinen Trick angewendet. Der erste Entpackungsvorgang hatte die verschachtelten Matrjoschka-Puppen freigesetzt, und zwar nicht eines, sondern zwei Pakete: eines für den Code, eines für die Daten. Das Datenpaket tat genau das, was man von ihm erwarten würde; es informierte das System, dass es inkompatibel sei und sich selbst gelöscht habe. Das andere Paket, das mit dem Code, öffnete einen Speicher  – ein geschütztes Speichersegment  – , entschlüsselte und installierte sich und stieß dieses Segment als »Remote Thread« ab, sprich, als einen verborgenen Code, der sich selbst im Adressraum eines bestehenden, legitimen Prozesses ausführt. Solchermaßen versteckt, injizierte der Eindringling sich unter einem zufälligen Dateinamen in das Wurzelverzeichnis von Windows, eine Datei namens services.exe , die Hintergrundanwendungen ausführt. Damit hatte der Wurm den Computer gepwned, ihn übernommen. Er hatte sich einen Stuhl im innersten Kern des Computers, im Kernel, unter den Hintern geschoben, sozusagen in der Medulla oblongata des Hirnstamms, der zum Zentralnervensystem gehört und autonome Funktionen wie die Atmung, den Blutkreislauf oder die Verdauung kontrolliert. Der Mensch kontrolliert seinen Körper in dem Sinne, dass er ihn zwingen kann, die Meile unter vier Minuten zu rennen oder die Nacht vor einer Chemieklausur durchzulernen, aber die wirklich wichtigen Kontrollen, die lebenswichtigen Funktionen, sind zu tief im Gehirn angesiedelt, als dass wir sie bewusst steuern könnten. Sie liegen sicher jenseits des Zugriffs der unbeholfenen, wankelmütigen Willenskraft. Das Wurzelverzeichnis eines Betriebssystems ist gleichermaßen sicher verborgen. Computernutzer, die aus Versehen darüber stolpern, werden mit deutlichen Worten gewarnt, nichts Unbedachtes zu tun  – Lass die Finger davon, es sei denn, du weißt ganz genau, was du tust!
    Hassen spürte diesen Schritten mit großer Sorgfalt nach, bis er den in seinen virtuellen Rechner injizierten Remote Thread gefunden, isoliert und an seine eigene, ausführbare Datei angehängt hatte. Damit hatte er den Wurm sozusagen nackt vor sich auf dem Seziertisch liegen. Er konnte ihn jetzt aktivieren und beobachten, wie er sich an die Arbeit machte. Weil der Programmcode absichtlich verschleiert war, dauerte es länger als üblich, ihn zu entschlüsseln, aber nachdem Hassen über ein paar Wochen hinweg unablässig auf lange Ketten von Nullen und Einsen gestarrt hatte, konnte er die Einzelteile zusammenfügen. Eine seiner ersten Entdeckungen war, dass das von dem Wurm aufgebaute Botnetz am 26. November aktiviert werden sollte. Wer auch immer den Wurm freigesetzt hatte, hatte ihm sechs Tage zur Ausbreitung geben, bevor er sich aktivierte. Weil der Wurm zur Zeitermittlung einen Abgleich mit der internen Uhr des Host-Computers durchführte, konnte Hassen einen Blick auf das werfen, was der Wurm auf Lager hatte, indem er einfach die interne Uhr seines Computers vorstellte.
    Gleich eine der ersten Aktionen des Wurms überraschte ihn.