Worm

Gruppe erfasst hatte, hielt Dave Dagon die Zeit für gekommen, um Hilfe zu bitten:
    Falls wir diesen Weg beschreiten [versuchen, Conficker C einzudämmen], werden wir meiner Meinung nach Hilfe von ganz oben benötigen. Vom Außenministerium  – um die Frage zu beantworten: »W arum sollte unser Land Ihrer ›Kabale‹ helfen?« Vom Justizministerium  – damit der Conficker-Ermittlung höchste Priorität eingeräumt wird. Vom Ministerium für Heimatschutz und US - CERT  – bei der ganzen SIGINT [kurz für Signals Intelligence, also nachrichtendienstliche Signalaufklärung], die sie betreiben, hoffe ich doch schwer, dass man dort irgendetwas über die Botmaster weiß und etwas unternimmt, bevor irgendwelche lebenswichtigen Infrastrukturen in Mitleidenschaft gezogen werden  … Rufen wir dieses Wochenende unsere Freunde an und warnen sie.
    Es war definitiv an der Zeit, die Feds, also die Bundesbehörden in Washington, wachzurütteln, sie endlich zum Eingreifen zu bewegen. Die »Kabale« hatte den für Cybersicherheit und Strafverfolgung zuständigen Bundesbehörden von Anfang an artig Daten und Erkenntnisse zukommen lassen. Aber so, wie es die X-Men sahen, hatte es sich dabei bislang ausschließlich um eine Einbahnstraße gehandelt. Was auch immer sie in das riesige Maul des Behördenapparats stopften, verschwand dort einfach sang- und klanglos. Nichts kam je zurück. Die X-Men rissen sich die Ärsche auf, machten Überstunden und ganze Wochenenden durch, zermarterten sich die Köpfe, zapften jeden Kontakt und jede Quelle an, die sie irgendwo auf der Welt hatten, kämpften verbissen darum, das Internet zu retten  … Aber wo waren eigentlich die Leute, die dafür bezahlt wurden, das zu tun?
    Rodney packte die Koffer für Washington.
    Als Phil und sein Team am Dienstag ihren Bericht zu Conficker C vorlegten, waren die Aussichten so düster wie nie zuvor. Bis zum »C-Day«, dem Tag, an dem die neue Variante aufwachen und nach Anweisungen fragen sollte, waren es nur noch drei Wochen.
    Der Algorithmus zur Domainerzeugung der ursprünglichen Variante des Wurms hatte täglich 250 auf fünf TLD s verteilte potenzielle Kommando-und-Kontroll-Stellen erzeugt. Conficker B hatte drei zusätzliche TLD s genutzt, was die Sache deutlich komplizierter gemacht hatte, weil Rick Wesson, John Crain von der ICANN und die anderen sich nun mit insgesamt acht TLD s herumschlagen mussten. Conficker C ging richtig in die Vollen. Er war nicht nur darauf programmiert, täglich 50 000 potenzielle Domains auszuspucken, er verteilte diese Domains auch auf sämtliche Länder- TLD s, die es gab, 110 an der Zahl, und dazu noch sechs weitere, insgesamt also auf 116 TLD s!
    Es kam sogar noch schlimmer. Als Hassen Saidi die neue Variante auseinandernahm, fiel ihm im Code für den neuen Algorithmus ein nicht lesbarer Abschnitt auf. Was immer sich auch dahinter verbarg, es brachte den infizierten Rechner dazu, mehrere der Kommunikationskontrolle dienende Ports zu öffnen. Darüber, was das zu bedeuten hatte, wurden alle möglichen Spekulationen angestellt, aber das Rätsel knacken konnte keiner.
    Hassen nahm auch diese Herausforderung persönlich. Der Botmaster hatte ihm ein weiteres Rätsel gestellt. Da er das fragliche Codesegment mit keiner der ihm bekannten Computersprachen lesen konnte, machte er sich an die mühevolle Aufgabe, den Quellcode in Objektcode zu zerlegen, in die Nullen und Einsen der Maschinensprache. Die Sache kostete ihn drei volle Wochen, und was er dann vor sich sah, war ebenso simpel wie elegant. Der Schöpfer des Wurms hatte ein originäres Peer-to-Peer-Protokoll entwickelt.
    Bei den beiden ersten Varianten musste jeder einzelne infizierte Rechner des Botnetzes die richtige Domain kontaktieren, um Anweisungen zu erhalten. Hinter einer der zahllosen Türen saß der Botmaster und verschickte an jeden Bot einzeln Anweisungen. Anders gesagt, er musste jeden Rechner »berühren«, was eine vergleichsweise ineffiziente Methode der Befehlserteilung darstellte. Das Peer-to-Peer-Prinzip vereinfachte den Vorgang ungemein. Die Bots konnten nun unmittelbar miteinander kommunizieren. Der Botmaster musste nur noch einen einzigen Bot berühren. Wenn auch nur ein Rechner den Befehl erhielt, konnte er von sich aus die Nachricht an alle anderen weiterleiten. Die mit Conficker C infizierten Rechner stupsten sich gleichsam gegenseitig an und fragten: »Hey, hast du eine Kopie? Hast du eine Datei für mich?«
    Die »Kabale« erkannte sofort,