Nå har du kanskje hørt om de nyeste orm som er plager bredt internettbrukere verden. Det går under navnet Conficker (eller Downadup) og leveres i variantene A, B og C med c være den mest utviklede variant. For å si det enkelt: Conficker bruker en Windows sårbarhet som ble oppdaget i september 2008 og en patch ble utgitt av Microsoft som fikset det. Den første orm som brukes sårbarheten ble oppdaget i november 2008.
Conficker C vil sette i gang en rekke prosesser på infiserte vertssystemer, inkludert åpne en tilfeldig port som brukes i distribusjonsprosessen av ormen. Ormen vil deretter lappe sikkerhetshull på datasystem som tillater det å angripe systemet i første omgang. Dette hindrer andre virus fra å utnytte sårbarheten mens du holder en bakdør åpen for nyere varianter av Conficker-ormen. Ormen vil blokkere visse strenger mot tilgang på internett. Kan ikke nås domenenavn gjør bruk av disse strengene med mindre IP brukes til å gjøre det. Blant de strengene er ulike sikkerhetsselskaper som Microsoft, panda eller symantec men også generiske strenger som forsvareren Conficker eller mot. Dette er for å hindre at brukere får tilgang til nettsteder som inneholder informasjon og fjerning instruksjoner om ormen.
Selv om dette er sikkert en plage for brukeren det betyr at ormen i seg selv ikke er skade brukeren systemet på noen annen måte enn de ovenfor beskrevne metoder. Den virkelige faren kommer fra oppdatering mekanismen av Conficker C. Ormen vil prøve å hente nye instruksjoner 1. april 2009. En svært sofistikert oppdatering mekanismen har blitt gjennomført av forfatteren. Ormen vil generere en liste over 50K domenenavn og vedlegge en liste over 116 toppdomener til dem. Det vil da velge 500 tilfeldig fra listen og prøve å koble til dem. Dersom nye instruksjoner er funnet på en av webadresser vil det laste dem ned og kjøre dem på datasystemet. Denne prosessen vil bli gjentatt hver 24. time.
Den enkleste måten deteksjon er ved å åpne et område som microsoft.com eller symantec.com og sammenligne resultatene med tilgang til området ved hjelp av IP-adresser (207.46.197.32 og 206.204.52.31). Selv om dette vanligvis gir en god indikasjon på at det er bedre å sjekke datasystem med verktøy som er spesielt utviklet for å oppdage og fjerne Conficker varianter.
Noen få verktøy som kan brukes til å oppdage og fjerne Conficker varianter er ESET Conficker Removal Tool, Downadup fra F-Secure eller KidoKiller av Kaspersky.
Utmerket informasjon om Conficker oppdagelse og fjerning instruksjoner er tilgjengelig på Sans.org.