趋势科技从使用者处收到报告,关于一种新的危险的文件感染程序。这个经侦测为PE_LICAT.A的威胁,使用的域名产生运算法,是最近在WORM_DOWNAD/Conficker 变种中看到的手法。此手法会让文件感染程序从网络中不同的服务器下载并执行恶意文件。
　　
　　就如WORM_DOWNAD一般,PE_LICAT.A制作域名名列表,并从中下载其它的恶意文件。域名名产生功能是依据随机功能,从目前的国际标准时间(Coordinated Universal Time,简称UTC)系统日期与时间运算而得。这个特定的随机功能每分钟会产生不同的结果。
　　
　　特殊问题工程师Alvin Bacani表示,当感染了PE_LICAT.A的文件受执行时,恶意软件会产生一个假随机域名名,其确切数值是按系统的时间产生。接着会尝试与该假随机域名名连结。如果连结成功,便从该假随机URL下载及执行文件。如果不成功,便会连续尝试达800次,每次产生新的URL。此举有助确保即使在一到多个域名遭破解离线时,其它域名仍能取而代之,让恶意软件随时保持在更新的状态。
　　
　　受感染并已调整和目前UTC国际标准时间日期与时间同步的系统,会以同组的域名名进行运算及联络。
　　依据PE_LICAT.A的程序代码,下载的文件在执行前会先受验证,此点和WORM_DOWNAD/ Normal 0 0 2 false false false MicrosoftInternetExplorer4 Conficker 使用的手法相同。每次PE_LICAT.A执行时,系统受感染的使用者就可能下载更多的恶意文件入系统中。