Nowe zagrożenie w internecie
Firma Trend Micro ostrzega przed nowym zagrożeniem, które wykorzystuje w procesie infekcji technikę generowania domen podobną do tej, której używał osławiony robak Conficker.
Zagrożenie to, zidentyfikowane jako PE_LICAT.A wykorzystuje algorytm generowania domeny, która pozwala pobrać i uruchomić infekujące pliki z różnych serwerów w internecie. Podobnie do DOWNAD / Conficker, LICAT generuje listę nazw domen, z których pobierane są pliki infekujące. Tworzenie nazwy domeny opiera się na losowej funkcji wyliczania daty i czasu systemu z uniwersalnego czasu koordynowanego (UTC). Ten szczególny model pozwala na generowanie różnych wyników z minuty na minutę.
Gdy plik jest już zainfekowany przez LICAT, złośliwe oprogramowanie generuje pseudolosową nazwę domeny. Nazwa ta uwzględnia dokładną wartość zależną od parametrów daty i czasu systemu ofiary ataku. Następnie program próbuje połączyć się z ową nazwą domeny. Jeśli się powiedzie, pobiera i uruchamia pliki pod wskazanym pseudolosowym adresem URL. Jeśli nie uda się za pierwszym razem, próbuje powtórzyć proces aż 800 razy, tworząc każdorazowo nowy adres URL.
Gwarantuje to, że złośliwe oprogramowanie pozostanie aktualizowane i nawet jeśli jedna lub więcej domen zacznie działać w trybie offline, inna może zająć jej miejsce. Niemniej jednak systemy, które są zakażone i zsynchronizowane z aktualną datą i czasem UTC obliczają i łączą się z tą samą listą nazw domen.
Opierając się na kodzie PE_LICAT.A, pobrane pliki są sprawdzane przed uruchomieniem, co przypomina modelem działania DOWNAD / Conficker. Użytkownicy, których systemy zostały zainfekowane są narażeni na pobieranie większej ilości złośliwych plików do swoich komputerów za każdym razem, kiedy uruchamia się PE_LICAT.A.
