Få dag før den mulige eksplosion i Conficker-ormens udbredelse 1. april, hvor ormen forventes at gennemføre en stor opdatering med 50.000 domæne-navne, er det lykkes at finde en kur, der tilsyneladende vil kunne tage livet af krapylet på såre effektiv vis.
To tyskere udtænkte i fredags hvordan man kan fange den evigt skiftende orms digitale fingeraftryk - og dermed dæmme effektivt op for dens fortsatte udbredelse.
I går eftermiddag havde de den første scanner klar og i går aftes var et frit tilgængeligt værktøj baseret på tyskernes opdagelse allerede blevet implementeret af flere af de store antivirus-firmaer.
De to tyskere er sikkerhedsforskerne Tillmann Werner og Felix Leder. De er tilknyttet Honeynet -projektet - en non-profit it-sikkerhedsorganisation - og de udviklede deres orme-våben i tæt samarbejde med sikkerhedseksperten Dan Kaminsky.
Kort fortalt fandt to ud af, at Conficker efterlader sig et spor. Ormen infiltrerer uopdaterede Windows-pc'er, der er i besiddelse af et bestemt sikkerhedshul, og den er så venlig at lukke hullet efter sig, når den først er flyttet ind. Det sker øjensynligt for at holde anden malware ude, så den kan beholde ofret for sig selv.
Men lukningen foregår med en binær patch, og det er den, der ifølge tyskerne efterlader de afgørende spor.
Dan Kaminsky forklarer det på sin blog med, at Conficker med patchen "forandrer måden, Windows ser ud på på netværket." Denne forandring kan nemt og hurtigt opdages, for eksempel af en fjernadministrator.
"Man kan simpelthen spørge en server om den er inficeret med Conficker, og så vil den fortælle dig det," lyder det fra sikkerhedseksperten Kaminsky.
Holdet bag ormekuren ventes at offentliggøre en nærmere beskrivelse i et whitepaper med titlern "Know Your Enemy" løbet af det kommende døgn.
Med sin forholdsvist uhæmmede hærgen frem til nu har Conficker-ormen skabt et gigantisk botnet bestående af tusinder - måske millioner - af pc'er.
Da det blev gravet frem, at Conficker-inficerede maskiner er programmeret til at foretage en stor men ukendt opdatering, der indebærer skabelsen af 50.000 nye domæner for botnettet den 1. april, er der rejst frygt for, at et omfangsrigt angreb vil blive sat ind på netop denne dag.
Flere sikkerhedsfolk har dog slået koldt vand i blodet: Eftersom det meste af sikkerheds-verdenens øjne er rettet mod alt Conficker-relateret netop denne dag, ville det være det dummest mulige tidspunkt for bagmændene at starte en stor operation.
Men den nye kur er det desuden tvivlsomt, om samme bagmænd overhovedet vil komme til at gennemføre den planlagte operation med den nu stærkt svækkede superorm.
