Beter goed gejat dan slecht bedacht zullen de makers van de Conficker worm hebben gedacht, aangezien ze code uit 1997 voor de P2P-communicatie van het botnet gebruiken. Tijdens het analyseren van de code ontdekten onderzoekers de routine voor het generen van de P2P poort, waarmee de besmette machines communiceren. De waarde “15A4E35h”, die Conficker voor het genereren van de poortnummers gebruikt, is eerder al in 1997 door ene "raZZia" besproken. Hierdoor wordt er steeds een willekeurige poort gebruikt. De code uit 1997 was echter bedoeld voor het genereren van sleutels en niet voor poortnummers.

Verder wroeten in de code leverde nog obscure Chinese Unicode op, die letterlijk vertaald "dik gras", "grasvlakte" of "onkruid" betekent, wat de onderzoekers als een verwijzing naar een groot botnet zien. "Als we iets over uitgekookte cybercriminelen weten, is dat ze van ironie houden", zegt Trend Micro's Ben April. Hij merkt op dat het heel goed mogelijk is dat de makers van Conficker zo de schuld op de Chinezen proberen af te schuiven, iets wat wel vaker voorkomt. "We hebben Russen en Oekraïners gezien die bepaalde elementen van de Chinese cultuur gebruikten om zo ten onrechte Chinese betrokkenheid te impliceren, en andersom. Er is een zorgwekkende trend gaande, waarbij Russische en Oekraïense cybercriminelen Chinese middelen, zoals .CN domein registraties gebruiken, om onschuldige partijen de schuld in de schoenen te schuiven."

April merkt verder op dat het recyclen van code door cybercriminelen voorkomt en in de meest onverwachte plekken kan opduiken. Door dit soort vindingen te delen hopen de onderzoekers op meer "geleende" onderdelen te stuiten die uiteindelijk tot de aanhouding van de makers kan leiden. In dit artikel gaat de onderzoeker dieper in op het P2P-verkeer dat Conficker genereert, waaruit blijkt dat de worm bepaalde IP spaces vermijdt.