Dies war noch beim Conficker-Original der Fall. Stattdessen nutzen die Autoren diese Lücke, um weiteren Code auf das System zu laden. Der eintreffende Code wird nun von Conficker verifiziert. Damit will der Wurm offenbar verhindern, dass andere Schädlinge das System über die Sicherheitslücke infizieren.

Microsoft zufolge reagieren die Virenschreiber damit auf die Tatsache, dass der Wurm nicht mehr wie zu Anfang beliebige Domains registrieren kann, um von dort neuen Schadcode zu laden. Microsoft hatte gemeinsam mit der Security-Taskforce der ICANN den größten Teil der von Conficker genutzten Domains gesperrt. Nun braucht der Wurm aber keine Websites mehr, um neuen Schadcode zu beziehen, sondern bekommt ihn von den Virenschreibern über das Windows-Leck geliefert.

Damit beschreiten die Conficker-Autoren genau den Weg, vor dem der ICANN-Security-Beauftragte Ram Mohan bereits am Freitag bei PC-Professionell.de warnte: Ein `Son of Conficker` könne das Internet zum Stillstand bringen, wenn sich nicht bald eine neue wirksame Allianz gegen diese Bedrohung zusammenrauft. Mohan wörtlich: „Wenn ein Nachfolger von Conficker kommt – nennen wir ihn ‚Son of Conficker‘ – haben wir ein riesiges Problem. Die gegenwärtige Sicherheitskoalition prüft nur 250 Domains täglich auf solche Bedrohungen, aber wenn da 25.000 Domainnamen wären und sich über 30 TLDs verteilen würden, dann wäre das Ding nicht mehr zu stoppen!“, warnte Mohan.