متخصصان امنیت سایبر منتظر بودند تا این کرم خبرساز بعد از نزدیک به یک ماه روز اول آوریل 2009 شروع به تغییر استراتژی دهد و یا طیف جدیدی از حملات را فعال (Trigger) کند.[شمارش معکوس برای حمله کانفیکر شروع شد]
ولی صبح امروز اگرچه شرکتهای امنیت سایبر گوش به زنگ بودند تا ارتباط کانفیکر با سرورش را شناسایی کنند؛ اما جزئیات دقیق این بهروزرسانی که به صورت پیچیدهای کدگذازی شدهاست هنوز معلوم نشده است.
البته این بهروزسانی تا کنون تنها در کامپیوترهای آلوده به نوع C کانفیکر (که با نام Downadup نیز شناخته میشود) شناسایی شدهاست.
ابزار ارسال فایلهای بهروزرسانی ارتباطات p2p است و کانفیکر برای اینکه ردی از خود به جا نگذارد، به آرامی و در میان ترافیک بالای اتصال به اینترنت کار خود را انجام میدهد.
زمانی که بسته بهروزسانی با موفقیت دانلود میشود، کرم به طور تصادفی به یکی از وبسایتهای MySpace، MSN، eBay، CNN و AOL متصل میشود تا از دسترسی کامپیوتر میزبان به اینترنت اطمینان حاصل کند.
کدگذاری دقیق این بسته دیدن محتویات آن را دشوار میکند ولی متخصصان معتقدند که این بسته یک Root Kit است که در اعماق فایلهای سیستمعامل نفوذ میکند و هرگونه اطلاعات ارزشمندی از قبیل اطلاعات بانکی و حسابهای اعتباری را به سرقت میبرد.
بعد از این مراحل بسته و تمام ردپاهای آن به کلی پاک میشود.
البته فعالیتهای کانفیکر به همین محدود نمیشود و شرکت امنیت سایبر سیمانتک ادعا میکند که ارتباطی میان کانفیکر و ویروس دیگری به نام Waledac یافتهاست. Waledac یک ویروس شناخته شده و قدرتمند است که علاوه بر سرقت اطلاعات، کامپیوتر آلوده را به یک سرور ارسال هرزنامه (Spam) تبدیل میکند و با بازکردن یک Backdoor به سازندگانش اجازه کنترل کامپیوتر را میدهد.
[مفاهیم: انواع حملههای کامپیوتری چیست؟]
به اعتقاد متخصصان سیمانتک بسته بهروزرسانی جدید دارای دستوراتی است که به کانفیکر اجازه میدهد خود را در روز 3 ماه مه پاک کند و با به دست گرفتن کنترل کامپیوترهای آلوده از طریق Backdoor ایجاد شده توسط Waledac به مقاصد خود دست یابد.