Datei-Infectors gelten als "Klassiker" unter den Viren: Sie suchen sich einen anderen Dateitypus aus und fügt den eigenen Code in die Dateien der Opfer ein. Sobald eine solch infizierte Datei geöffnet wird, wird auch der bösartige Code ausgeführt. Das Besondere an dem neuen Virus: Er kann bösartige Dateien von verschiedenen Servern im Internet herunterladen und ausführen. Bei der Technik handelt es sich um einen so genannten Domain-Generierungsalgorithmus. Wie schon früher Conficker erzeugt auch der neue Schädling damit eine Liste mit Domänennamen, von denen er weitere bösartige Dateien laden kann. Die Domain Name-Generierung beruht auf einer Zufallsfunktion, die aus dem aktuellen Datum und der Zeit des UTC (Coordinated Universal Time)-Systems berechnet wird. Das Ergebnis ändert sich in jeder Minute. Sobald eine Datei infiziert ist, generiert der Schädling einen solchen Domänennamen mit den genauen Werten der Systemzeit des Opfers. Dann versucht er Verbindung zu besagtem Domain Name aufzunehmen. Bei Erfolg lädt er die Datei von der Webadresse herunter und führt sie aus. Bei einem Fehlschlag wiederholt er die Aktion bis zu 800 Mal und generiert dabei jedes Mal eine "neue" Webadresse. Damit stellt die Schadsoftware sicher, dass sie sich auf aktuellem Stand hält. Auch wenn eine oder mehrere Domänen vom Netz genommen werden, können andere ihren Platz einnehmen.
Systeme, die infiziert und mit dem aktuellen UTC-Datum und der Zeit synchronisiert sind, kontaktieren dieselbe Sammlung von Domänennamen. Die heruntergeladenen Dateien werden vor ihrer Ausführung erst validiert. Nutzer, deren Systeme infiziert wurden, riskieren, noch weitere bösartige Dateien auf ihre Systeme herunterzuladen, und zwar jedes Mal wenn die Schadsoftware ausgeführt wird.
Die weiter gehende Analyse der Bedrohung hat zudem gezeigt, dass das Virus LICAT die Opfer-Systeme für eine ZeuS-Infektion vorzubereiten scheint. Die unselige Verbindung funktioniert über gemeinsam genutzte Domänen. Mehrere der Domänen, von denen LICAT Ende September Dateien herunter geladen hat, sind zu der Zeit bekanntermaßen ZeuS-Domänen gewesen. Eine andere wurde von einem für seine intensive ZeuS-Aktivität bekannten ISP gehostet.
Trend Micro schützt
Infektionen über LICAT haben bislang vor allem Nordamerika und Europa am härtesten getroffen, ergab das Feedback aus dem Trend Micro Smart Protection Network. Die Sicherheitsinfrastruktur analysiert die Domänen in Echtzeit und blockiert sie bei Bedarf. Zudem erkennt das Smart Protection Network dank des Dateireputationsdienstes den Schädling und kann damit entsprechend umgehen.