После долгого ождания, разбавляемого новостями об очередном обновлении сего детища, раскрыта основная цель вируса. Ею оказалась тривиальная нажива.
Предыдущая версия червя использует p2p функционал для загрузки обновления, которое показывает множество окон с оповещениями о несуществующих угрозах, а также надоедливые всплывающие окна, пока вы не согласитесь заплатить $49.95.
Эксперты безопасности из TrendMicro изучили обновленный код вируса. Были выяснены некоторые его особенности:
- Conficker прекратит свою работу 3 мая 2009 года.
- При установке вирус использует случайное имя файла и имя службы.
- После установки он удаляет свою предыдущую версию.
- Он распространяется через MS08-067 уязвимость (которая была исправлена Microsoft, так что обновленные системы не будут заражены) для систем с внешними ip адресами. Если подключения к интернету не имеется, то старается обновится через локальную сеть.
- Он открывает 5554 порт и начинает вещание в качестве HTTP сервера, посылая SSDP запросы.
Также он соединяется с myspace.com, msn.com, ebay.com, cnn.com и aol.com. И после запуска удаляет все записи о себе, включая файлы, историю, и ключи реестра.
Сейчас вирус не тихо лежит на жестком диске пользоваетеля, а скачивает и устанавливает ложный "антивирус", который постоянно информирует пользователя о несуществующих угрозах, и показывает надоедливые всплывающие окна.