Worm

jemandem gehörten. Chris leitete die Nachricht an Rodney weiter, der sich Chris’ Kommilitonen postwendend vorknöpfte und eine E-Mail schickte, die er mit einer gewichtigen Auflistung seiner Referenzen eröffnete  – Leitender Vizepräsident und Cheftechnologe von Neustar, Mitglied des Security and Stability Advisory Committee der ICANN  – , um anschließend zu erklären, dass, so unwahrscheinlich das auch klingen mochte, »der Conficker-Code, wie von Dr. Lee erwähnt, jeden Tag 500 zufällige Domainnamen erzeugt und diese dann zur Kontaktaufnahme mit dem C&C [Command and Control Server, sprich dem Botmaster] benutzt. Wir haben den Algorithmus entschlüsselt und können somit im Voraus für jeden Tag angeben, welche Domainnamen der C&C-Server und die Bots verwenden werden  – zumindest bis die Schadsoftware ein weiteres Mal aktualisiert wird.«
    Rodney fuhr fort:
    Dr. Lee und andere in dieser Kerngruppe haben die Domainnamen, die absehbar vom C&C benutzt werden, mit bereits registrierten Domains verglichen. Offensichtlich führt die Zufallskomponente des Schadsoftwarealgorithmus hin und wieder zu Kollisionen mit Domains, die bereits registriert sind, unter anderem mit der Domain Ihres Kunden. Um die unregistrierten Domains haben wir uns bereits gekümmert  … , aber die paar Domains, zu denen auch die Ihres Kunden gehört, werden, so die Befürchtung, am Stichtag  – im Falle Ihres Kunden am 18. März  – millionenfach Anfragen von infizierten Conficker-Systemen erhalten. Die besten Erfolgsaussichten haben die Conficker-Autoren natürlich, wenn sie die Rechner hinter dem Domainnamen Ihres Kunden bis zum 18. März manipulieren. Daher Dr. Lees Besorgnis und seine E-Mail an Sie. Seien Sie versichert, dass die Leute hinter Conficker unglücklicherweise höchst versiert sind in der Manipulation von Webservern, und zwar selbst solchen, die besonders geschützt sind. Deshalb empfehle ich Ihnen dringend, Dr. Lees Hilfsangebot anzunehmen. Ungeachtet dessen, was Sie nach einem Blick auf seine öffentlichen Seiten an der GT [Georgia Tech] vielleicht annehmen mögen, ist er ein Experte auf diesem Feld, und zwar einer unserer besten.
    Das brachte den Typen auf Linie.
    Auch Stephane Bortzmayer von der Association Française pour le Nommage Internet en Coopération ( AFNIC ), eine französische Registry, die unter anderem für die von Conficker benutzte TLD . fr zuständig ist, fühlte sich von Johns Aufforderung vor den Kopf gestoßen:
    Ich bin ein einfacher Angestellter und habe keinerlei Autorität, darüber zu bestimmen, was AFNIC tun oder lassen wird. Der Brief  … ist so formuliert, als sei die Entscheidung bereits getroffen. Er scheint sogar Drohungen gegen die zu enthalten, die sich einer Kooperation verweigern  … Dasselbe, wenn Sie die Leute auffordern, die zu ergreifenden Maßnahmen nicht zu diskutieren, sondern einfach zu berichten, in welchem Stadium der Umsetzung eines bereits beschlossenen Plans sie sich befinden. Ich schlage vor, wir diskutieren erst einmal über die Lösung. (Ist die Blockierung vieler Tausend Domains eine zukunftsfähige Lösung, wenn Conficker seine Listen doch unbegrenzt erweitern kann?) Wie mir scheint, gibt es für Conficker C keine publizierte Implementation des Algorithmus, was heißt, dass wir der Liste der Domainnamen blindlings vertrauen müssen. Das ist ärgerlich.
    John antwortete mit einer E-Mail, in der er sich für eventuelle Unklarheiten entschuldigte und betonte, dass es sich bei dem Brief, den er geschickt hatte, nur um eine Bitte handelte. Auch Rick Wesson antwortete auf Bortzmayers Kritik:
    Bitte verstehen Sie, dass die Sache dringend ist und dass allein schon der Versuch schwierig ist, innerhalb von 18 Tagen eine weltweite Reaktion zu koordinieren. Was letztlich die Entscheidung angeht, die muss jede TLD für sich selbst treffen. Unser Plan kann nur funktionieren, wenn wir alle zu der Entscheidung kommen, dass eine Mitarbeit im globalen Interesse liegt. Dies ist die Entscheidung, die die meisten Organisationen fällen.
    Außerdem schickte Rick Bortzmayer den Link und ein Passwort für die Mailingliste, damit er sich selbst ein Bild über ihre Arbeit machen konnte. Am Ende stieg der Franzose mit ins Boot, aber erst, nachdem er zur rechtlichen Absicherung ein Dokument mit einer beglaubigten Unterschrift erbeten und erhalten hatte, was ein wenig eigenartig war, da es ja niemanden gab, der sich in einer Position befand, Anweisungen zu erteilen oder Forderungen