Verscheidene registries nemen maatregelen tegen het Conficker virus. Het Conficker C virus is zo geprogrammeerd dat het contact zoekt met zijn maker via steeds veranderende domeinnamen onder 110 ccTLDs (country code Top Level Domeinen). Bij de vorige versie van het virus ging het nog om 250 domeinen per dag, bij de C-variant gaat het om totaal 50.000 domeinen per dag. Inmiddels is er een lijst opgesteld van de domeinnamen die mogelijk door Conficker C zullen worden gebruikt.
De manier van werken is min of meer als volgt: Men heeft ontdekt dat het virus een zeker algoritme gebruikt om elke dag via andere domeinnamen contact te zoeken met zijn maker. Elke nieuwe domeinnaam die door het virus geregistreerd wordt, is op de één of andere manier gelinkt met de datum waarop de naam geregistreerd wordt. In het meest simpele voorbeeld zou het virus dus op 1 april bijvoorbeeld proberen 1april2009.be te bezoeken. De maker van het virus zou dan dat domeinnaam kunnen registreren om daar een bericht met verdere instructies voor het virus achter te laten. Zo eenvoudig zien de domeinnamen er natuurlijk niet uit, maar aan de hand van allerlei wiskundige formules is men er wel in geslaagd een vast patroon te ontdekken in de namen die het virus zal trachten te registreren. Zo heeft men dus deze lijst kunnen opstellen.
Het Conficker virus zelf werkt als een ’tweetrapsraket’. Het eerste deel van het virus is wereldwijd genesteld op vele Windows platformen die een kritieke vulnerability bezitten omdat ze niet door de patch van oktober 2008 zijn gerepareerd. Rond 1 april 2009 volgt de tweede fase, waarvan niet exact duidelijk is hoe die werkt. Uit de nu voorliggende informatie blijkt dat een soort van gesigneerde code op websites wordt geïmplementeerd. Dit zou voor verdere verspreiding van het virus kunnen zorgen of voor activatie van andere kwaadaardige zaken.
Wat nu gedaan? Om problemen te voorkomen voeren verscheidene registries, waaronder de .nl, .be, .ca en .co.uk registry, extra controles uit op het moment dat iemand een domeinnaam heeft geregistreerd die op de Conficker C-lijst staat.
SIDN (.nl registry) en Nominet (.co.uk registry) nemen ongeveer dezelfde maatregelen. Als één van deze namen op de lijst geregistreerd wordt, zal de registry de aanvraag manueel controleren. Als de aanvraag als ‘verdacht’ wordt beschouwd, zal er contact opgenomen worden met de registrar om alles verder uit te zoeken.
CIRA (.ca registry) blokkeert nu al alle namen via dewelke het virus de komende 12 maanden contact zou kunnen zoeken met zijn maker. De namen die mogelijkerwijs reeds geregistreerd zijn en nog op deze lijst opduiken, zullen verder gecontroleerd worden.