每分鐘800鏈接?惡意下載誰也擋不住

趨勢科技從使用者處收到報告，關于一種新的危險的文件感染程序。這個經偵測為PE_LICAT.A的威脅，使用的域名產生運算法，是最近在WORM_DOWNAD/Conficker 變種中看到的手法。此手法會讓文件感染程序從網絡中不同的服務器下載并執行惡意文件。

就如WORM_DOWNAD一般，PE_LICAT.A制作域名名列表，并從中下載其它的惡意文件。域名名產生功能是依據隨機功能，從目前的國際標準時間(Coordinated Universal Time，簡稱UTC)系統日期與時間運算而得。這個特定的隨機功能每分鐘會產生不同的結果。

特殊問題工程師Alvin Bacani表示，當感染了PE_LICAT.A的文件受執行時，惡意軟件會產生一個假隨機域名名，其確切數值是按系統的時間產生。接著會嘗試與該假隨機域名名連結。如果連結成功，便從該假隨機URL下載及執行文件。如果不成功，便會連續嘗試達800次，每次產生新的URL。此舉有助確保即使在一到多個域名遭破解離線時，其它域名仍能取而代之，讓惡意軟件隨時保持在更新的狀態。

受感染并已調整和目前UTC國際標準時間日期與時間同步的系統，會以同組的域名名進行運算及聯絡。

依據PE_LICAT.A的程序代碼，下載的文件在執行前會先受驗證，此點和WORM_DOWNAD/ Normal 0 0 2 1 1 1 MicrosoftInternetExplorer4 Conficker 使用的手法相同。每次PE_LICAT.A執行時，系統受感染的使用者就可能下載更多的惡意文件入系統中。