Da quando il worm ha cominciato ad aggiornarsi alla variante B il 5 Marzo, è riuscito a farlo con successo in più dell’80% dei computer infettati (era il 20% 2 settimane fa). Questo grazie a un sistema di update che ricerca aggiornamenti generando ogni giorno 500 domini pseudo-causali, e attendendo comandi da questi ultimi. Sistema che con la versione C del worm, il primo Aprile, passerà a 50000 domini pseudo-casuali al giorno! Così se prima si potevano bloccare i 500 domini a cui il worm si riferiva dal nostro PC, ora diviene quasi impossibile data la quantità.

I ricercatori hanno pensato ad aggiornare loro stessi il codice per renderlo inoffensivo, assumendo uno dei 500 domini generati, ma il worm possiede un sistema di autenticazione per l’update (con hashing MD6) , che permette solo agli autori di aggiornare i worm con successo.

Tutto ciò ha permesso agli autori del worm di restare anonimi, nonostante la taglia di 250000$ messa da Microsoft in cambio del loro arresto, e questa nuova variante dimostra come essi stiano cercando rimedio alle controdifese attuate in tutto il mondo, a livello personale e governativo, per fermare questo blog.