Worm

Buchstaben und Ziffern bestanden  – der Algorithmus spuckte keine bekannten Domains wie espn.com oder nytimes.com aus  – , konnte man fest davon ausgehen, dass derjenige, der eine dieser Domains gekauft hatte, ihr Verdächtiger und somit der Autor des Wurms war. Dazu brauchte Phil Ricks Hilfe, der über eine »W hois«-Software verfügte, die identifizierende Details zu den Registranten einer Domain lieferte.
    Er schrieb an Rick:
    Wir wollen in der Zeit zurückgehen und herausfinden, ob irgendwelche Conficker-Domains vor der Freisetzung zu Testzwecken reserviert wurden. Vielleicht können wir den Autor identifizieren, wenn wir überprüfen, ob er Testläufe mit direkt registrierten Internet-Domains durchgeführt hat. Kurz gesagt, wir brauchen Hilfe bei der »W hois«-Recherche [bei der Suche nach der Identität hinter den IP -Adressen derjenigen, die die Domains testen]. Dabei gehen wir davon aus, dass die Hacker die Domains wirklich nur testen [sprich, sie reservieren die Domains, was fünf Tage lang kostenlos ist, kaufen sie dann aber doch nicht]. Da sie pro Tag nur eine Domain benötigen, können sie kostenlos eine Vielzahl von Domains durchlaufen lassen. Wie auch immer, wir haben jede Menge Domains und wollten wissen, ob du uns mit deinen »W hois«-Kapazitäten aushelfen kannst.
    Rick brauchte nur eine Woche, bis er eine heiße Spur hatte. Die meisten Treffer  – 391 Domainnamen, die mit der Zufallsliste von Conficker korrespondierten  – waren »eindeutig zufällig«, wie Phil begeistert in einem Memo an seine Mitarbeiter schrieb: »Allerdings haben wir neun HOCH RELEVANTE Treffer gefunden, verteilt auf den Zeitraum vom 2 7.  Nov. bis zum 19. Dez. 2008.«
    Alle neun stammten von demselben Ort, einer Website, die einer Computerfirma gehörte.
    »Das sind eindeutig die Kerle, die Conficker betreiben«, schrieb Phil.
    Nur dass er damit eindeutig falschlag. Als er nämlich genauer nachschaute, stieß er auf eine in Atlanta, Georgia, ansässige Computersicherheitsfirma namens Damballa, die exakt dasselbe getan hatte wie er und Rick, nämlich die Uhr von Conficker zurückgedreht. Die Idee dazu hatte Dave Dagon gehabt, der bald darauf in die Mailingliste aufgenommen wurde.
    Die X-Men stolperten einander über die Füße .

7
    Nachrichten von der Front
    Das ganze Training   … die ganze Planung  … Nun wird sich alles beweisen müssen .
    – The X-Men Chronicles
    Am 28. Dezember 2008 hatte T. J. Campana Geburtstag, und wie immer nahmen seine Frau und er das zum Anlass für ein Fest in ihrem Haus in einem Vorort von Seattle. Der Tag zwischen den Jahren war traditionell der Familie vorbehalten, und jedes Mal, wenn seine Frau ihn dabei ertappte, wie er sein Telefon auf neue Textnachrichten checkte, brachte ihm das einen genervten Blick ein.
    Aber T. J. konnte nicht anders, zumal es sich bei den Nachrichten keineswegs nur um Geburtstagsglückwünsche handelte. Seit gut einem Monat drängte ein bunt zusammengewürfelter und von Phil Porras, Rick Wesson und Andre DiMino angeführter Haufen Geeks  – die, wie sie sich inzwischen selbst nannten, »Conficker-Kabale«  – Microsoft dazu, sie im Kampf gegen den neuen Wurm zu unterstützen.
    Aber so wohlwollend T. J. dem Ansinnen auch gegenüberstehen mochte, im Moment war das Botnetz nur eine von vielen Bedrohungen, die der Softwareriese auf dem Schirm hatte. Aus einer Reihe technischer Gründe war Conficker zwar besonders interessant, hatte aber noch längst nicht alle anderen Erwägungen in den Hintergrund gedrängt. Der Konzern hatte die von dem Wurm zum Eindringen in Computer ausgenutzte Sicherheitsanfälligkeit bereits mit einem Patch behoben, und so begrenzt, wie sich die Auswirkungen auf die Kunden bislang darstellten, sah man keinen Anlass, ihm höhere Priorität einzuräumen. Da auch die Medien der Sache bislang kaum Beachtung schenkten, kam von der PR -Seite her ebenfalls kein Druck, der den Konzern zu einem Einschreiten genötigt hätte. Natürlich gab es die Frage nach dem Geld, die man irgendwann angehen musste. Vorläufig finanzierte ja Rick Wesson den Ankauf der 250 täglich neu erzeugten Domainnamen und das Sinkholing auf dem S3-Speicherdienst von Amazon noch aus eigener Tasche. Aber das hatte Zeit. Kurz vor dem Jahreswechsel sah es ganz danach aus, als wäre die »Kabale« in der Lage, dem Wurm im Alleingang das Handwerk zu legen.
    Der Strom der Textnachrichten riss nicht ab. Dringende Nachrichten. Etwas musste passiert sein. Aber