Na de infectie van duizend Oostenrijkse overheidscomputers, zijn nu ook machines van tenminste drie ziekenhuizen met de Downadup worm besmet geraakt. Tenminste drieduizend computers wist de worm te infecteren. In tegenstelling tot de machines bij de overheid, waren de ziekenhuiscomputers wel van de laatste Windows updates voorzien. Het netwerk raakte waarschijnlijk door een laptop besmet, maar ook een USB-stick wordt als boosdoener genoemd. Doordat veel gedeelde mappen niet met een wachtwoord beveiligd waren, kon Downadup zich zeer snel verspreiden en downloadde daarbij ook aanvullende malware. De reden voor het ontbreken van een wachtwoordbeveiliging ligt in de gebruikte medische apparatuur, die hier niet mee overweg kan.

De worm misbruikt een ernstig beveiligingslek in Windows dat op 23 oktober vorig jaar door Microsoft via een noodpatch werd gerepareerd. Toch waren de machines in de ziekenhuizen volledig gepatcht en gebruikten ze een virusscanner, die de worm niet opmerkte. Om andere problemen met de gebruikte applicaties te voorkomen was de Microsoft Malicious Software Removal Tool preventief uitgeschakeld. Inmiddels wordt duidelijk dat de worm niet alleen een probleem van de ziekenhuizen is. Een Oostenrijkse bank en de Bulgaarse overheid zijn slechts twee van de gemaakte slachtoffers.

AutoRun
Het Finse F-Secure laat vandaag weten dat Downadup / Conficker inmiddels de 2,3 miljoen geïnfecteerde Windows computers is gepasseerd, maar dat het werkelijke aantal waarschijnlijk veel hoger ligt. Bedrijfscomputers zitten meestal achter een router, waardoor een besmet IP-adres in werkelijkheid duizenden computers kan zijn. De virusbestrijder is bang dat de bende achter de malware alle computers straks voor een groot botnet zal gebruiken.

Een andere reden dat de nieuwste variant van de worm zo effectief is, komt door het gebruik van de AutoRun functie. Het plaatst op alle aanwezige schijven een autorun.inf bestand, dat automatisch wordt uitgevoerd zodra iemand de schijf benadert.