dodano: 2010-10-12 13:09 | aktualizacja:
2010-10-12 17:41
autor: Karol Czechowicki |
źródło: Trend Micro
Prosimy o wyłączenie blokowania reklam i odświeżenie strony.
Podobnie do DOWNAD / Conficker,
LICAT generuje listę nazw domen, z których pobierane są pliki infekujące. Tworzenie nazwy domeny opiera się na losowej funkcji wyliczania daty i czasu systemu z uniwersalnego czasu koordynowanego (UTC). Ten szczególny model pozwala na generowanie różnych wyników z minuty na minutę.
Gdy plik jest już zainfekowany przez
LICAT, złośliwe oprogramowanie generuje pseudolosową nazwę domeny. Nazwa ta uwzględnia dokładną wartość zależną od parametrów daty i czasu systemu ofiary ataku. Następnie program próbuje połączyć się z ową nazwą domeny. Jeśli się powiedzie, pobiera i uruchamia pliki pod wskazanym pseudolosowym adresem URL. Jeśli nie uda się za pierwszym razem, próbuje powtórzyć proces aż 800 razy, tworząc każdorazowo nowy adres URL.
Gwarantuje to, że złośliwe oprogramowanie pozostanie aktualizowane i nawet jeśli jedna lub więcej domen zacznie działać w trybie offline, inna może zająć jej miejsce. Niemniej jednak systemy, które są zakażone i zsynchronizowane z aktualną datą i czasem UTC obliczają i łączą się z tą samą listą nazw domen.
Opierając się na kodzie
PE_LICAT.A, pobrane pliki są sprawdzane przed uruchomieniem, co przypomina modelem działania DOWNAD / Conficker. Użytkownicy, których systemy zostały zainfekowane są narażeni na pobieranie większej ilości złośliwych plików do swoich komputerów za każdym razem, kiedy uruchamia się
PE_LICAT.A.
Materiał chroniony prawem
autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy.