Microsoft potwierdził otrzymanie od użytkowników raportów o robaku Win32/Conficker.A, który infekuje komputery w sieci wykorzystując lukę w usłudze SVCHOST.exe Windows Server.

Robak, określany przez Microsoft nazwą "Conficker.A", a przez Symantec "Downadup", wykorzystuje lukę w usłudze używanej przez wszystkie wersje systemów operacyjnych do podłączania serwerów plików i druku do sieci. Microsoft załatał te lukę poza rutynowym cyklem uaktualnia w październiku br., po wykryciu niewielkiej liczby maszyn zainfekowanych tym robakiem, głównie w Azji.

Według Microsoft Malware Protection Center, w sieciach korporacyjnych zaczęła się jednak rozprzestrzeniać nowa fala ataków tego robaka, która dotknęła także pewną liczbę użytkowników domowych. Większość raportów o infekcji pochodzi z terenów Stanów Zjednoczonych, ale zespół otrzymał również raporty z innych krajów. Robak nie infekuje natomiast komputerów na Ukrainie, co według specjalistów Malware Protection Center mogłoby wskazywać, że został on stworzony w tym kraju: często bowiem się zdarza się, iż hakerzy oszczędzają komputery w kraju, z którego pochodzą.

Interesujące jest także to, że robak naprawia "nieszczelne" API w pamięci komputera, zamykając w ten sposób lukę w maszynie. Nie jest to oczywiste przejaw troski autora robaka o kondycję komputera, ale zabezpieczenie przed możliwością przejęcia "władzy nad komputerem" przez inny kod złośliwy.

Robak resetuje również punkt restartu systemu w zainfekowanym komputerze, co utrudnia lub wręcz uniemożliwia odtworzenie systemu w postaci przed infekcją.

Celem zidentyfikowanych dotychczas ataków były maszyny Windows Server 2000, 2003 i Windows XP.