A Conficker féreg a Windows egyik szolgáltatásában lévő sebezhetőséget használja ki a terjedéséhez, miközben webszerverré alakítja a PC-ket.

A Conficker féreg mindössze egy állományt hoz létre a Windows egyik rendszerkönyvtárába, majd meglehetősen visszafogottan módosítja a regisztrációs adatbázist. Ezt követően az Interneten keresztül különféle állományokat tölt le, amelyek révén további kártékony programokat tud telepíteni. Majd kétféle módon igyekszik terjedni. Egyrészt egy egyszerű webszervert hoz létre a fertőzött PC-ken, amelyen keresztül próbálja kiszolgáltatni a saját állományait. Másrészt a Microsoft által októberben kiadott, MS08-067-es biztonsági közleményben szereplő sebezhetőség révén igyekszik a helyi hálózathoz csatlakoztatott rendszerekre felkerülni.

Amikor a Conficker féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. A Windows System vagy System 32 könyvtárába létrehoz egy véletlenszerű fájlnévvel ellátott állományt.

2. Módosítja a regisztrációs adatbázis alábbi kulcsait:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random}\Parameters\"ServiceDll" = [a féreg elérési útvonala]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random}\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs

3. Csatlakozik egy előre meghatározott távoli szerverhez.

4. Interneten keresztül megpróbál egy kártékony fájlt letölteni.

5. Elindít egy HTTP-szervert egy véletlenszerűen kiválasztott TCP porton keresztül, és megpróbálja terjeszteni a saját állományát.

6. Feltérképezi a helyi hálózatban lévő számítógépeket, és megpróbálja azokat megfertőzni. Eközben a Microsoft MS08-067-es biztonsági közleményében ismertetett sebezhetőséget is igyekszik kihasználni.