在靜悄悄的度過愚人節後,Conficker蠕蟲(worm)又開始新的動作。4月8號賽門鐵克安全應變中心在誘補系統中發現新的變種樣本Downadup.E。新的變種透過P2P(peer-to-peer)的方式與已遭Downadup.C入侵的電腦通訊,嘗試更新Downadup.C,並下載W32.Waledac(Waledac是目前最活躍的垃圾郵件Bot傀儡程式)。Waledac會竊取受害者機密資訊,將被入侵電腦轉為垃圾郵件殭屍電腦,建立系統後門以便遠端遙控。另外,在這個新樣本中,該變種出現一種前所未見的「自我移除」功能,設定於5月3日自動將本身自受感染的主機上移除。
同時賽門鐵克也接獲報告指出,在一些誘捕系統中,一隻叫做Spyware Protect 2009的誤導型應用程式(Misleading Application)也被下載到電腦上。這些誤導型應用程式提供虛假的或誇大的用戶系統安全威脅報告,欺騙使用者使其誤以為系統已受感染,藉以說服用戶花錢購買軟體,或升級到據稱能夠「消除威脅」的偽裝安全軟體版本。兩者之間的關聯尚未被證實,然而誤導應用程式確實是之前分析Conficker攻擊的動機之一。
賽門鐵克建議保持下載並安裝Windows系統最新的安全更新程式,並更新至最新的病毒定義檔。同時在瀏覽可疑網站、電子郵件及其附件時提高警覺。
在電腦被入侵後,兩個很類似的檔案名稱分別為484528750.exe以及 484471375.exe,會在一分鐘前後分別出現在\Windows\temp資料夾中。這兩個檔案是W32.Waledac以及W32.Downadup的變種。 間接的證據指出兩者的關連正是由W32.Downadup散佈 W32.Waledac。W32.Waledac可竊取機密資訊,並將受感染的電腦轉為垃圾郵件殭屍,同時在電腦上建立一個後門(back door)供駭客遠端遙控。賽門鐵克的防毒軟體及IPS防護皆可提供對Waledac的防護。
在這個新樣本中,該變種出現了一種前所未見的「自殺」功能-將於5月3日自動將本身自主機上移除。Conficker之前曾經依照日期下載二位元檔案或指令,然而自我移除的功能卻是首次出現。
原先W32.Downadup(.B)的變種包含了一些程式碼,利用NETAPI的Microsoft Server Service RPC漏洞(MS08-067)。這個程式碼的部分在.C的變種中被移除了,但是在最新的樣本中,又再度被包含在裡面。
此外,開啟5114埠口作為HTTP伺服器,可能是作為惡意程式的下載管道。新版本的Conficker中,用以調查受侵害電腦IP位址的連結名單有些許調整。