Největší aktivita tohoto malwaru byla zaznamenána v P2P sítích a centrum, odkud se šíří, se pravděpodobně nachází v Jižní Korei.
Conficker.E používá náhodně vygenerovaný název souboru a po spuštění se maskuje jako (rovněž náhodně zvolená) služba Windows. Šíří se v podobě binárního souboru a dokáže se dále nabízet pomocí P2P sítí. S jejich pomocí také hledá další infikované počítače a zde aktualizuje starší verze Confickeru.
Tato varianta červa se snaží o připojení k myspace.com, msn.com, ebay.com, cnn.com, a aol.com a rovněž k doménám, které jsou spojeny s botnetem Waledec. Také se pokouší šířit do dalších počítačů, a to tak, že se maskuje jako oprava Microsoftu MS08-067. Ironické je, že jde právě o záplatu, jejíž instalace před červem chrání. Červ má v této verzi také zabudovanou detekci, zda je v počítači příslušná aktualizace již přítomna.
Po datu 1. dubna je v kódu navíc přítomna další „časová instrukce“ - Conficker.E má nastaveno ukončení své činnosti na 3. května.