Nowe zagrożenie w internecie
Firma Trend Micro ostrzega przed nowym zagrożeniem, które wykorzystuje w procesie infekcji technikę generowania domen podobną do tej, której używał osławiony robak Conficker.
Gdy plik jest już zainfekowany przez LICAT, złośliwe oprogramowanie generuje pseudolosową nazwę domeny. Nazwa ta uwzględnia dokładną wartość zależną od parametrów daty i czasu systemu ofiary ataku. Następnie program próbuje połączyć się z ową nazwą domeny. Jeśli się powiedzie, pobiera i uruchamia pliki pod wskazanym pseudolosowym adresem URL. Jeśli nie uda się za pierwszym razem, próbuje powtórzyć proces aż 800 razy, tworząc każdorazowo nowy adres URL.
Gwarantuje to, że złośliwe oprogramowanie pozostanie aktualizowane i nawet jeśli jedna lub więcej domen zacznie działać w trybie offline, inna może zająć jej miejsce. Niemniej jednak systemy, które są zakażone i zsynchronizowane z aktualną datą i czasem UTC obliczają i łączą się z tą samą listą nazw domen.
Opierając się na kodzie PE_LICAT.A, pobrane pliki są sprawdzane przed uruchomieniem, co przypomina modelem działania DOWNAD / Conficker. Użytkownicy, których systemy zostały zainfekowane są narażeni na pobieranie większej ilości złośliwych plików do swoich komputerów za każdym razem, kiedy uruchamia się PE_LICAT.A.
