Podobnie jak Conficker, szkodnik zidentyfikowany jako PE_LICAT.A generuje listę nazw domen, z których pobierane są pliki infekujące. Tworzenie każdej nazwy opiera się na losowej funkcji wyliczania daty i czasu w systemie ofiary z uniwersalnego czasu koordynowanego (UTC). Ten szczególny model pozwala na generowanie różnych wyników z minuty na minutę.

>> Czytaj też: Przyczajony Conficker, ukryty Gumblar

Następnie program próbuje połączyć się z powstałą w taki sposób nazwą domeny. Jeśli to się powiedzie, PE_LICAT.A pobiera i uruchamia pliki znajdujące się pod wskazanym adresem URL. Jeśli połączenie za pierwszym razem się nie uda, szkodnik próbuje powtórzyć proces 800 razy, tworząc każdorazowo nowy adres URL. Gwarantuje to, że złośliwe oprogramowanie będzie aktualizowane i nawet jeśli jedna lub więcej domen zacznie działać w trybie offline, inna może zająć jej miejsce. Niemniej jednak systemy, które są zarażone i zsynchronizowane z aktualną datą i czasem UTC, obliczają i łączą się zawsze z tą samą listą nazw domen.

>> Czytaj też: Zimuse - powrót wirusów-niszczycieli?

Pobrane pliki są sprawdzane przed uruchomieniem, co przypomina modelem działania Confickera. Użytkownicy, których systemy zostały zainfekowane, są narażeni na pobieranie kolejnych złośliwych plików za każdym razem, kiedy uruchamia się PE_LICAT.A.

Więcej informacji o zagrożeniu można znaleźć na: blog.trendmicro.com