Geen gestolen creditcardgegevens, spam, geplunderde bankrekeningen of nep-virusscanners, de tien miljoen met de Conficker worm besmette computers hebben nog nergens last van, hoewel dat elk moment kan veranderen. Net als Kaspersky Lab ons gisteren liet weten denkt ook beveiliger Symantec dat de worm het werk is van een bende die zich eerder met het installeren van adware en nep-virusscanners bezighield.

Conficker gebruikt twee manieren om zichzelf te updaten. De eerste manier is inmiddels algemeen bekend en dat is het genereren van een lijst met 250 domeinnamen. Door één van deze domeinnamen te registreren kan de bende aanvullende malware op de besmette PC's installeren. Probleem is dat anti-virusbedrijven deze domeinnamen monitoren. Hierdoor kan men de domeinnamen uit de lucht halen en de nieuwe malware snel detecteren.

De andere methode die de worm toepast is het gebruik van een peer-to-peer (P2P) mechanisme om bestanden tussen besmette machines uit te wisselen. Conficker patcht niet alleen het lek waardoor het binnenkomt, maar gebruikt deze patch ook om connecties van andere geïnfecteerde computers te herkennen. Via het HTTP protocol, over een willekeurige poort, geeft de ene aan de andere besmette machine door dat het ook tot het botnet behoort, waarop die de aanvullende lading krijgt toegestuurd. De bestanden zijn ongetwijfeld versleuteld. Conficker kan de bestanden op de schijf opslaan of direct in het geheugen laden. "We weten hoe Downadup werkt, maar het motief is nog onbekend", zegt Trevor Mack van Symantec.