Worm

Wurms war seine Fähigkeit, andere an das Netzwerk des Host-Rechners angeschlossene Computer auf ihre Verwundbarkeit hin zu scannen. Dieser Trick, mit dem sich Blaster weitaus effizienter als andere Würmer weiterverbreiten konnte, fand ebenfalls Eingang in das Waffenarsenal von Conficker.
    Einige der Innovationen, auf die Hassen Saidi bei Conficker stieß, verwiesen zurück auf drei frühe Botnetze. Der Sinit-Trojaner von 2003 war zwar keine besonders effektive Schadsoftware, aber er war der Erste, der zur Kommunikation mit dem Botmaster Verschlüsselungsverfahren einsetzte. Das war bezeichnend. Es verriet nicht nur, wie konkurrenzorientiert es im Bereich der Cyberkriminalität inzwischen zuging, es bestätigte auch Schecters und Smiths Vorhersagen. Seine Entwickler wollten Sinit nicht nur vor den Weißhüten schützen  – zu der Zeit gab es nicht so viele IT -Sicherheitsexperten, die Jagd auf Schadprogramme machten  – , sondern auch vor rivalisierenden Kriminellen. Der Code des Trojaners enthielt eine IP -Adresse, von der sich der infizierte Rechner Instruktionen holen sollte. Mit dieser IP -Adresse könnte jeder Schwarzhut das Botnetz kontrollieren  – und jeder Weißhut könnte es zerschlagen oder zur weiteren Analyse übernehmen. Die infizierten Rechner in einem Botnetz zu zählen war inzwischen erheblich schwieriger geworden. Aber wenn die Weißhüte es unter ihre Kontrolle bringen konnten, waren sie in der Lage, das Netzwerk auszuforschen und dafür zu sorgen, dass alle infizierten Rechner vom Netz genommen wurden. Die bei Sinit eingesetzte Verschlüsselung war der erste Versuch, ein Botnetz quasi mit einem Schloss zu versehen. Und wie wir gesehen haben, spielte die Verschlüsselung auch bei Conficker eine zentrale Rolle.
    Der 2005 aufgetauchte Trojaner StartPage stellte zwar nur eine geringe Bedrohung dar, war aber der Erste, der nachprüfte, auf welche Sprache die Tastatur des Computers eingestellt war.
    Die letzte und wichtigste Innovation, die Conficker übernahm (und verbesserte), fand erstmals bei einem Botnetz namens Bobax im Jahr 2004 Verwendung und markierte einen taktischen Fortschritt gegenüber Sinit und anderen Botnetzen: Bobax versuchte, den Standort seiner Kommandozentrale zu verbergen. Inzwischen konnten Sicherheitsexperten Botnetze relativ problemlos ausschalten, wenn diese über einen IRC -Kanal kommunizierten. Solche Botnetze hatten nur ein Kommandozentrum, und machte man dieses ausfindig, konnte man das Netz gleichsam enthaupten, eine Kunst, die die Weißhüte immer besser beherrschten. Also verfielen die Schwarzhüte auf eine Reihe neuer Strategien  – unter anderem bedienten sie sich statt eines IRC -Kanals eines Domainnamens im Internet. Webverkehr lässt sich nur sehr schwer abschalten. Die Leitstellen der Botnetze verwandelten sich in bewegliche Ziele, wanderten in Windeseile von einer Domain zur nächsten und versteckten sich in der immensen Datenflut des Internetverkehrs. Bobax erzeugte in regelmäßigen Abständen eine Zufallsliste mit Domainnamen, ein Kniff, der sich, wie wir noch sehen werden, als die heimtückischste Eigenart von Conficker erweisen sollte.
    Diese Taktik, den Botnetz-Betreiber hinter einer laufend wechselnden Liste von Domainnamen zu verstecken, kam auch bei einem sehr erfolgreichen trojanischen Pferd namens Srizbi zum Einsatz, das im Juni 2007 auftauchte. Der Trojaner, dessen Ursprung in Estland vermutet wird, befiel Computer, indem er sich als Antivirensoftware ausgab. Srizbi breitete sich bis 2008 rasch aus und baute eines der größten Botnetze aller Zeiten auf, eines, das an manchen Tagen für bis zu drei Viertel der weltweit verschickten Spam-Mails verantwortlich war. Mitarbeiter der IT -Sicherheitsfirma Fire-Eye konnten in Zusammenarbeit mit anderen Experten, die später auch eine zentrale Rolle beim Kampf gegen Conficker spielen sollten, das Botnetz kurzzeitig unter ihre Kontrolle bekommen, als sie mit Hilfe seines Algorithmus zur Erzeugung von Domainnamen eine Liste aller künftigen Kontaktpunkte erstellten, diese aufkauften und aus dem Verkehr zogen. 2008 hatten sie das Botnetz praktisch schon eingedämmt, doch dann übersahen sie einen der möglichen Domainnamen, und das genügte dem Schöpfer von Srizbi, um die Kontrolle wieder an sich zu reißen. Allerdings erlitt Srizbi noch im selben Jahr, kurz bevor Conficker auf der Bildfläche erschien, einen schweren Rückschlag, als die amerikanische Bundespolizei eine Razzia bei einem berüchtigten