Worm

Zunächst führte der Wurm einige Routineaufgaben durch, mit denen er sich initialisierte, die Antivirenprogramme des Computers lahmlegte (der infizierte Rechner konnte nun keine Sicherheitsupdates von AV -Anbietern mehr erhalten), die Schwachstelle an Port 445 flickte (der schlaue Einbrecher schließt und verriegelt das Fenster, durch das er eingestiegen ist) und eine Hintertür durch die Firewall des Computers öffnete, über die er eine externe Verbindung vom befallenen Rechner zum Botmaster herstellen konnte. Anschließend  – und das war ebenso ungewöhnlich wie aufschlussreich  – überprüfte der Wurm, ob an den Host-Computer eine ukrainische Tastatur angeschlossen war. Das Internet ist global, nicht aber die Gesetzeslage und die Rechtsprechung. In vielen Ländern, und die Ukraine ist eines davon, gibt es kein Gesetz, das den Einsatz von Computern für Cyberattacken auf Bürger anderer Länder untersagt. Solange die Cyberdiebe keine ukrainischen Bürger abzocken, können sie von der Ukraine aus theoretisch die Bankkonten aller amerikanischen Bürger plündern, ohne gegen ukrainisches Recht zu verstoßen (wie der Zufall es will, gibt es in Buenos Aires, woher der Wurm offenbar stammte, eine große ukrainische Gemeinde). War eine ukrainische Tastatur an den Rechner angeschlossen, installierte der Wurm sich nicht, ansonsten fuhr er fort.
    Als Nächstes kontaktierte er eine Website namens maxmind.com und lud eine Geo IP -Datenbank herunter (Geographic Internet Protocol). Das war auch schon Phil in dem ursprünglichen Protokoll auf seinem Infektionslogbuch aufgefallen. Die Geo IP -Daten sagten dem Wurm, wo er sich befand und wo die Computer standen, die er zu infizieren versuchte  – Informationen, die aus mindestens zwei Gründen nützlich sein konnten. Einmal, weil der Wurm auf diese Weise zusätzlich die Infektion ukrainischer Rechner vermeiden konnte, zum anderen, weil sie ihm halfen, sich effizienter weiterzuverbreiten. Einen Pufferüberlauf auszunutzen ist eine komplizierte Sache. Wusste der Wurm, wo ein Zielcomputer stand, konnte er die Nachricht entsprechend maßschneidern.
    Nachdem er die IP -Adresse sowie die geographische Lage des gekaperten Rechners ermittelt hatte, kontaktierte der Wurm den Internetdienstanbieter ( ISP ) des Computers, scannte alle an dasselbe Netzwerk angeschlossenen Rechner auf Sicherheitsanfälligkeiten  – sprich auf ungeschützte Windows-Betriebssysteme. Gehörte der anfänglich infizierte Computer zu einem großen, beispielsweise von einer Universität oder einem militärischen Komplex betriebenen Netzwerk, war die Wahrscheinlichkeit groß, dass auch die anderen Rechner auf diesem Netzwerk nicht gepatcht waren, was bedeutete, dass der Wurm sich innerhalb von Netzwerken sehr schnell ausbreiten konnte. Bei Rechnern, die an einen kommerziellen Internetprovider angeschlossen waren, verlief der Prozess langsamer, weil der Wurm es bei diesen über einen ISP mit dem Internet verbundenen Rechnern mit einer größeren Vielfalt an Betriebssystemen zu tun hatte. Generell aber galt: War auch nur ein einziger Rechner infiziert, war jede IP -Adresse in diesem Netzwerk potenziell verwundbar.
    Nachdem er diese Schritte durchgeführt hatte, legte der Wurm eine Pause ein. Gott gönnte sich einen vollen Tag, dem Wurm reichte eine halbe Stunde.
    Es ist zweifelhaft, dass in diesem Stadium ein durchschnittlicher Computernutzer die Infektion bemerken würde. So begrenzt, wie der Wurm die Ressourcen und die Netzwerkbandbreite des Host-Computers in Anspruch nahm, registrierte das System seine Anwesenheit kaum. Es handelte sich um eine höchst wirksame Methode, sich zu verstecken. Solange die normalen Funktionen des Computers unverändert schienen  – und das würden sie, selbst wenn sie ein paar Millisekunden verlangsamt wären  – , dürfte kaum ein Anwender auf die Idee kommen, nach einem Eindringling zu suchen. Penible Nutzer, die die normale Bandbreite ihres Rechners genau kennen, das Maß, das die Datenaustauschrate angibt, könnten bei einem plötzlichen Anstieg der Austauschrate misstrauisch werden. Weil der Wurm jedoch so effizient arbeitete, hinterließ er nur eine schwache Spur auf dem Bandbreitenmonitor, weshalb selbst Nutzer, die regelmäßig den Bit-pro-Sekunde-Datenfluss ihres Rechners checken, aller Wahrscheinlichkeit nach keine signifikante Veränderung bemerken würden.
    Auch wenn das alles ziemlich clever war und belegte, dass der Wurm dem neusten Stand der Technik