La scoperta arriva dai laboratori Trend Micro:

Sembra che il 7 aprile il virus abbia nuovamente cambiato strada, evolvendosi per l’ennesima volta.

Ivan Macalintal e il suo team segnalano la comparsa di un nuovo file sospetto di 119,296 bytes nella cartella temporanea di windows (%windir%\temp).
Secondo i dati raccolti sembrerebbe che il virus abbia scaricato quest’ultimo aggiornamento grazie alla sua capacità di ricevere nuovi payload via peer-to-peer da altri host infetti sulla rete.

Altro dettaglio curioso è che successivamente avrebbe tentato di scaricare un secondo file criptato (print.exe) da un host (goodnewsdigital-com) appartenente alla botnet di Waledac, una “vecchia” conoscenza della famiglia dei Trojan, il cui obiettivo è quello di sottrarre dati sensibili agli utenti.

Oltre a Waledac, sui sistemi ancora sotto il controllo del Conficker si sono attivate installazioni di applicazioni scareware come “Spyware Protect 2009” (della stessa famiglia dei più famosi Antivirus 2008 e Antivirus 2009), il quale non è altro che un virus che si maschera da antivirus far credere all’utente che il proprio computer sia infetto, questo per spingerlo poi ad acquistare la fantomatica versione completa del programma, che pulirà completamente il pc dalle minacce.

Ed ecco che piano piano la motivazione di queste persone comincia a diventare fin troppo chiara: il denaro.

Le caratteristiche di quest’ultima variante, riconosciuta come Win32\Conficker.E o WORM_DOWNAD.E da TrendMicro, le trovate descritte in questa analisi del Microsoft Malware Protection Center: http://blogs.technet.com/mmpc/archive/2009/04/09/win32-conficker-variants-update.aspx