Het tipgeld wordt betaald aan diegenen die informatie verstrekt die leidt tot de arrestatie en veroordeling van de verantwoordelijken achter Conficker. Microsoft heeft dit al enkele malen eerder gedaan, soms met succes.

De snelheid – en professionalisering – van de ‘malware-industrie’ beperkt de impact van arrestaties echter.

Het bedrijf haalt nu ook de banden aan met partijen die ook zijn getroffen of misbruikt door deze worm. Dit zijn Internet-registrars, die registraties van domeinnamen verzorgen, DNS-providers, zoals ICANN, en security-bedrijven, waaronder Symantec.

Angst voor fase twee

De schade door deze worm is totnogtoe beperkt, maar experts vrezen voor de impact van een tweede fase. Conficker neemt namelijk automatisch dagelijks contact op met een gedistribueerd netwerk van beheerservers (command and control). De makers van de worm – of de kopers van dit zombienetwerk – kunnen de malware dan nieuwe instructies geven of nieuwe downloads doorgeven.

Woordvoerders van Microsoft bevestigen dat Conficker al probeert andere malware binnen te halen via het command and control-netwerk. De coalitie van de Windows-maker en Internet- en security-bedrijven wil dan ook dit beheer- en updatesysteem van Conficker aanpakken. De beheerservers wisselen constant van naam en lokatie, maar de communicatielijn valt toch wel te traceren. Dit verkeer wordt dan of geblokkeerd of omgeleid naar een zogeheten sinkhole-server waar security-experts dan de werking van de worm analyseren.

Alle Windows-versies

Conficker heeft tot op heden naar schatting zeker 10 miljoen pc’s besmet. Sommige security-experts spreken zelfs van 15 miljoen besmette computers. De worm waart sinds november rond op Internet. De kwaadaardige code gebruikt een kwetsbaarheid in een Windows Server-service die aanwezig is in nagenoeg alle huidige Windows-versies: Windows 2000, XP, Vista, Server 2003 en Server 2008.

Één van de voornaamste eigenschappen van de worm is dat het antimalware, inclusief in Windows ingebakken beveiligingsfuncties, en de Windows Update-dienst uitschakelt. Daarnaast blokkeert het de toegang tot websites van security-leveranciers.