新型威胁采用域名生成技术 狂造800伪域名
近期出现一种新的病毒威胁,该种威胁采用域名生成技术,类似于 DOWNAD/Conficker曾在其感染进程中采用的技术。尽管对此项威胁的全面分析仍在进行中,但以下重要信息已经得到确认:
这个新的威胁被检测为PE_LICAT.A,其使用一个域名生成算法允许被感染文件去主动连接远程的服务器去下载并执行其他恶意文件。
与Downad/Conficker手法类似,LICAT也生成一个指向下载其它恶意文件的域名列表,此域名生成的函数基于一个随机化函数,它计算随机化的种子是依赖于当前UTC(世界标准时间)的系统日期和时间。更值得注意的是,这种特殊的随机函数每一分钟返回的结果都不一样。
只要被LICAT感染的文件成功执行,此恶意程序会通过计算受害者计算机当前系统时间生成一个精确的伪随机域名,之后它会不断尝试与此域名进行连接,如果连接成功,它会去下载并执行在该伪随机URL的恶意文件。
如果没有成功连接到当前伪随机URL,它会继续尝试800次,每一次生成一个“新”的URL,恶意程序加入此环节确保能够保持更新,更重要的是,如果其中一个或多个域名已经离线,其它的域名可以取代其位置保证恶意软件的正常更新。不过,受到感染和同步到当前UTC日期和时间的系统将会计算并关联到同一套域名下。
根据对PE_LICAT.A代码分析,通过远程下载的文件,在执行前都已经被验证过,此技术手法与Downad/Conficker相同。那些系统被感染的用户,只要PE_LICAT.A被执行一次就有可能会下载更多的恶意文件到其系统中,使用户的电脑处于潜在威胁之中。
紧急预防方法:
Step 1
对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。
Step 2
确定和终止PE_LICAT.A检测到的文件
1、对于Windows 98和ME用户,Windows任务管理器可能不显示所有运行进程。在此情况下,请使用第三方进程查看程序(推荐Process Explorer)终止恶意软件/灰色软件/间谍软件文件。
2、如果检测到的文件出现在Windows任务管理器或Process Explorer中但不能删除,请重启计算机进入安全模式。
3、如果检测到的文件未在Windows任务管理器或Process Explorer中出现,请继续下列步骤。
Step 3
使用安全软件产品扫描计算机,并清除检测到的PE_LICAT.A文件。如果检测到的文件已被安全软件产品清除、删除或隔离,则无需采取进一步措施,可以选择直接删除隔离的文件。