Worm

Checkliste im Kopf entworfen hatten. Sie hatten ihre Hausaufgaben gemacht  – und nicht nur ein bemerkenswertes illegales Werkzeug erschaffen, sondern auch große Mühe auf seinen Schutz verwendet und darauf, allen, die ihrer Schöpfung ans Leder wollten, einen Schritt voraus zu sein.
    All das war schon beeindruckend genug, doch was Hassen nun sah, als er noch tiefer in den Wurm eindrang, setzte dem noch eine Krone auf. So etwas hatte er noch nie gesehen. Auf der http- Abfragezeile der von dem Wurm jeden Tag scheinbar nach dem Zufallsprinzip erzeugten IP -Adressen stand eine Zahl, die Hassen zunächst nicht verstand. Er stellte die Frage ein paar Wochen lang zurück, in denen er eine Methode austüftelte, die Uhr des Algorithmus vorzustellen, der die Domainnamen generierte. Das ermöglichte es ihm, für jeden Tag eine Liste der Websites zu erzeugen, die der Wurm zu kontaktieren versuchen würde. Als er aber damit fertig war, knöpfte er sich die rätselhafte Zahl erneut vor.
    Schließlich stellte Hassen fest, dass sie die Zahl der Rechner angab, die der Wurm von diesem Bot aus infiziert hatte. Er erkannte sofort, warum diese Information nützlich war. Der Wurm versuchte zwar, wahllos jeden Computer zu infizieren, mit dem er eine Verbindung herstellen konnte, aber manche Computer waren stärker vernetzt als andere. Das Leben und die Arbeit der meisten von uns spielen sich innerhalb eines vergleichsweise kleinen Kreises von Menschen ab, und folglich stehen unsere Computer auch nur mit einer kleinen Anzahl anderer Computer in Verbindung. Manche Leute aber  – und damit auch ihre Computer  – sind, was Theoretiker sozialer Netzwerke als »Knoten« bezeichnen. Sie sind stark vernetzt, üblicherweise rund um die Uhr im Internet, und sie tauschen Informationen mit einer außergewöhnlich großen Anzahl anderer Menschen beziehungsweise Computer aus. Die rätselhafte Zahl auf der http- Zeile gab dem Botmaster Auskunft darüber, welche Computer in seinem Botnetz am stärksten vernetzt und damit auch am wertvollsten waren. Sollte es den Weißhüten gelingen, das Botnetz zu zerschlagen, würden seine Schöpfer nicht von vorne und mit zufälligen Infektionen anfangen müssen, sondern könnten gezielt diese Knoten ins Visier nehmen, von denen aus sich der Wurm dann sehr viel effizienter und schneller weiterverbreiten würde. In Hassens Augen war das »wirklich richtig clever«. Diese Kerle bastelten an einem Botnetz, das auf Langlebigkeit ausgelegt war.
    Am 26. November sollte der Wurm aber noch etwas anderes tun. Er war darauf programmiert, eine berüchtigte Schadsoftware-Website namens TrafficConverter.biz zu kontaktieren. Die Betreiber der Website boten »Partnern« Geld für jeden ahnungslosen Tölpel, den sie ihnen ins Netz trieben. Sobald leichtfertige Computernutzer die Website kontaktierten, erschien auf ihrem Bildschirm eine getürkte Warnmeldung über eine Infektion, die sie anwies, eine zwischen 50 und 75 US -Dollar teure Antivirensoftware herunterzuladen. Die eigentliche Infektion erfolgte natürlich über das TrafficConverter- Programm, das den Computernutzer an der Kontaktaufnahme mit seriösen AV -Anbietern hinderte und ihm so lange pausenlos zusetzte, bis er die Rechnung bezahlte. Die Betreiber der Website boten den Partnern, die ihnen am meisten Links verschafften, sogar Preise an, darunter eine Lexus-Sportlimousine. Die Betreiber von TrafficConverter.biz und ihre Partner scheffelten auf diese Weise einen Haufen Geld, laut einem Bericht des auf Cybersicherheit spezialisierten Journalisten Brian Krebs bis zu 3,9 Millionen US -Dollar im Jahr.
    Zwei Tage bevor der neue Wurm die gekaperten Rechner auf die Website steuern sollte, wurde TrafficConverter.biz jedoch lahmgelegt. Die großen Kreditkartengesellschaften hatten die Zahlungsoperationen für die Website eingestellt und sie damit aus dem Geschäft genommen. Wie sich zeigen sollte, war dies für alle Beteiligten das Beste, denn als der Wurm loslegte, lenkte er 83 Millionen Anfragen von insgesamt 179 000 IP -Adressen auf die Website. Wäre sie noch in Betrieb gewesen, hätte sie das unweigerlich zum Absturz gebracht.
    Auf den ersten Blick sah es so aus, als könnte die Verbindung zu TrafficConverter.biz den Weg zu den Programmierern des Wurms weisen. Ungefähr einen Monat vor Auftauchen des Wurms hatte ein anderer berüchtigter Schadsoftware-Anbieter namens Baka Software einen Wettbewerb darum ausgeschrieben, wer die meisten Computer infizierte. Als Preis