Worm

Auch wenn die genaue Anzahl niemals bekannt werden dürfte, legen diese Schätzungen nahe, dass die chinesische Regierung erhebliche Humanressourcen für Cyberaktivitäten im Dienste des Staates bereitstellt. Die Tatsache, dass an den Militärakademien des Landes zahlreiche Personen in Cyberoperationen ausgebildet werden, fügt sich in die übergreifende Strategie des chinesischen Militärs ein.«
    Es gab bereits mehrere Beispiele für erfolgreiche Cyberattacken aus China. Im Jahr 2005 hatten chinesische Hacker Daten aus dem U. S. Army Aviation and Missile Command in Huntsville, Alabama, sowie vom Mars Reconnaissance Orbiter der NASA gestohlen, darunter, wie es in dem Bericht hieß, »Informationen über Antriebssysteme, Solarpaneele und Treibstofftanks«. Weitere Angriffe richteten sich gegen das Non-secure Internet Protocol Router Network ( NI - PRN et), ein nichtgeheimes Netzwerk des US -Militärs, über das Zeitpläne für Generäle und Admiräle, Truppen- und Frachtbewegungen, Standorte und Bewegungen von Flugzeugen, Luftbetankungsoperationen und andere logistische Informationen verwaltet werden, aus denen ein fähiger Analytiker durchaus Rückschlüsse über die militärischen Absichten und Taktiken der USA ziehen kann. Egal, welches Kriegsszenario man nimmt, ein Lahmlegen dieses Systems vor Beginn der tatsächlichen Kampfhandlungen würde das amerikanische Militär vor ernste Probleme stellen.
    Die Anhänger dieser Theorie hielten die Sache mit den ukrainischen Tastaturen und den Versuch, betrügerische Antivirensoftware von TrafficConverter.biz herunterzuladen, für bewusst gelegte falsche Fährten. Der Umstand, dass Conficker ansonsten nichts tat, sprach ebenfalls für die Waffentheorie. Kriminelle waren darauf aus, Profit aus ihren Einbrüchen zu schlagen. Ein Land dagegen konnte sich durchaus damit begnügen, ein riesiges und robustes Botnetz als Plattform für spätere digitale Attacken aufzubauen und zu pflegen.
    Es gab noch eine dritte, optimistischere Theorie. Was, wenn Conficker doch bloß ein Forschungsprojekt war? Für diese Sichtweise sprachen zum einen ein Blick in die bisherige Geschichte von Schadsoftware sowie erneut der Umstand, dass das Botnetz bislang untätig geblieben war. Tatsächlich hatte es schon Würmer wie zum Beispiel Morris und andere gegeben, welche von Informatikstudenten geschrieben worden waren, die angeben oder ihre Programmierfähigkeiten testen wollten. Sollten ein paar Studenten zum Beispiel am MIT herumgespielt und Conficker freigesetzt haben, wären sie zu diesem Zeitpunkt wohl kaum mehr scharf darauf, sich zu ihrer Schöpfung zu bekennen. Falls diese Theorie zutraf, war von dem Wurm nichts weiter zu befürchten. Wer weiß, vielleicht war seine Freisetzung ja auch als Weckruf gedacht, als warnender Fingerzeig auf die extreme Verwundbarkeit des Internets?
    Weil Conficker selbst wenig konkrete Hinweise lieferte, gab es so viele Theorien wie Experten. Die Bemühungen, das Phänomen zu verfolgen und zu untersuchen, waren anfangs so unkoordiniert, dass die Wurmjäger teils zufällig übereinander stolperten. So waren Rick und Phil nicht wenig überrascht, als sie herausfanden, dass Chris Lee an der Georgia Tech schon seit Anfang des Monats eine Sinkholing-Operation betrieb und mit dem Wurm herumexperimentierte. Sie beschlossen, ihr weiteres Vorgehen abzustimmen.
    Unterdessen setzten Phil und Rick ihre Detektivarbeit fort. Bislang bestand Phils Arbeit darin, die Uhr des Wurms vorzustellen und die Domainnamen zu erzeugen, die dieser in der Zukunft ausspucken würde. Nun beschloss er, die Uhr zurückzudrehen und herauszufinden, welche IP -Adressen der Algorithmus in den Wochen und Monaten vor der Freisetzung des Wurms generiert hätte. Wer etwas in der Art von Conficker freizusetzen gedachte, so Phils Überlegung, würde den Wurm zuerst einmal einem Testlauf unterziehen. Falls sein Autor einen Trockendurchlauf mit dem Domain-Name-Algorithmus vorgenommen und die Kontaktaufnahme mit dem Kommandozentrum getestet hatte, dann dürfte er das aller Wahrscheinlichkeit nach vor nicht allzu langer Zeit getan haben. Der Exploit auf Port 445 (der chinesische Bausatz) war erst im Sommer 2008 aufgetaucht, also war es höchst unwahrscheinlich, dass Conficker vor diesem Zeitpunkt getestet worden war. Phil ließ den Algorithmus in seinem Labor sämtliche Domainnamen generieren, die der Wurm in den vergangenen sechs oder sieben Monaten erzeugt hätte. Da die Namen nur aus zufälligen Abfolgen von