Na 1 april is er weinig meer gebeurd. De wormen zoeken sindsdien alleen contact met een groot aantal urls, zonder dat ze antwoord krijgen. Dat is ook precies wat er van ze werd verwacht.

Maar nu circuleert er weer een update die wordt verspreid via het ingebouwde P2P netwerk. Vannacht merkte onder andere Trend Micro op dat er een bestand was gedownload, niet via http, maar via een bekende Conficker 2P2 node die wordt gehost in Korea.

Koppeling met andere botnets

De nieuwe binary vertelt Conficker dat het weer op zoek moet gaan naar machines die nog niet zijn voorzien van de Microsoft patch. Die functionaliteit was onlangs uitgezet, waaruit werd afgeleid dat de botbeheerders vonden dat het netwerk te groot werd. Maar blijkbaar zijn er de laatste tijd veel machines ontsmet, waardoor ze nu vinden dat er weer mag worden uitgebreid. Interessant is dat de nieuwe functionaliteit op 3 mei weer wordt uitgeschakeld.

Ook opmerkelijk is verder dat Conficker nu contact zoekt met een domein dat is gelieerd aan Waledac, een ander botnet. Dat leek weer erg op Storm Worm, die in 2007 furore maakte. Deze link kan er op wijzen dat die drie netwerken naar dezelfde bron zijn terug te voeren.

Overigens is Conficker nog steeds niet ingezet voor criminele activiteiten, zoals het versturen van spam, DoS-aanvallen of gedistribueerde brute force attacks. Maar zolang het netwerk er is blijft het een bedreiging.

Bron: Techworld.nl