La firma de seguridad TrenMicro alertó sobre la existencia de un nuevo virus, conocido como Licat, el cual ha atacado tanto empresas como a usuarios finales por igual y su expansión se ha dado exponencialmente en Norteamérica, Europa y Japón.

Según los informes de la firma el PE_LICAT.A ha mostrado un comportamiento muy similar al DOWNAD/Conficker, el cual ha sido catalogado por distintos analistas como uno de los virus más peligrosos que han existido en el siglo XXI.

El Anti-Phisisng Working Group estima que Conficker logró infectar hasta 4,6 millones de equipos en todo el mundo, además lo consideró como el gusano que ha conseguido crear la mayor red bot de equipos infectados del planeta.

TrendMicro detectó que el Licat se contagia desde un archivo con código malicioso y que éste utiliza un dominio de generación de algoritmo, esta es la misma técnica que Conficker explotó.

En ese entonces una de las principales características del Conficker era su nivel de distribución masiva a través de dispositivos USB, un mecanismo de infección que contrasta con los códigos maliciosos actuales, que se distribuye a través del web.

De acuerdo con el equipo de investigación de TrendLabs, una vez que el Licat ha sido descargado en el equipo, éste inyecta su código malicioso en los archivos de su víctima, por lo que cada que estos archivos se abren el código malicioso se ejecuta.

Los expertos aclaran que Licat busca archivos .EXE, .DLL y .HTML a fin de poder modificarlos y añadir rutas maliciosas sobre estos. Según Trend Micro cuando alguno de estos ficheros es abierto Licat tiene la capacidad de generar una secuencia de hasta 800 direcciones de Internet.

La firma aclara que los caracteres pseudoaleatorios son generados utilizando una función basada en la fecha y hora de la computadora infectada.

Tras generar la secuencia de las direcciones, el malware intentará conectarse a cada uno de estos destinos. Como consecuencia genera que se ejecuten y descarguen nuevos componentes del código maliciosos o actualizaciones de sus Centros de Comando. Una similitud más con el gusano Conficker

TrendLabs ha indicado que se encuentra analizando y bloqueando los archivos maliciosos utilizados en este ataque, así como las URLs activa relacionadas con la amenaza.

Informacion del virus.
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_LICAT.A

Blog de Trend Micro
http://blog.trendmicro.com/file-infector-uses-domain-generation-technique-like-downadconficker/