趨勢科技從使用者處收到報告，關于一種新的危險的文件感染程序。這個經(jīng)偵測為PE_LICAT.A的威脅，使用的域名產(chǎn)生運算法，是最近在WORM_DOWNAD/Conficker 變種中看到的手法。此手法會讓文件感染程序從網(wǎng)絡中不同的服務器下載并執(zhí)行惡意文件。

就如WORM_DOWNAD一般，PE_LICAT.A制作域名名列表，并從中下載其它的惡意文件。域名名產(chǎn)生功能是依據(jù)隨機功能，從目前的國際標準時間(Coordinated Universal Time，簡稱UTC)系統(tǒng)日期與時間運算而得。這個特定的隨機功能每分鐘會產(chǎn)生不同的結果。

特殊問題工程師Alvin Bacani表示，當感染了PE_LICAT.A的文件受執(zhí)行時，惡意軟件會產(chǎn)生一個假隨機域名名，其確切數(shù)值是按系統(tǒng)的時間產(chǎn)生。接著會嘗試與該假隨機域名名連結。如果連結成功，便從該假隨機URL下載及執(zhí)行文件。如果不成功，便會連續(xù)嘗試達800次，每次產(chǎn)生新的URL。此舉有助確保即使在一到多個域名遭破解離線時，其它域名仍能取而代之，讓惡意軟件隨時保持在更新的狀態(tài)。

受感染并已調(diào)整和目前UTC國際標準時間日期與時間同步的系統(tǒng)，會以同組的域名名進行運算及聯(lián)絡。

依據(jù)PE_LICAT.A的程序代碼，下載的文件在執(zhí)行前會先受驗證，此點和WORM_DOWNAD/ Normal 0 0 2 1 1 1 MicrosoftInternetExplorer4 Conficker 使用的手法相同。每次PE_LICAT.A執(zhí)行時，系統(tǒng)受感染的使用者就可能下載更多的惡意文件入系統(tǒng)中。