Gdy plik jest już zainfekowany przez LICAT, złośliwe oprogramowanie generuje pseudolosową nazwę domeny. Nazwa ta uwzględnia dokładną wartość zależną od parametrów daty i czasu systemu ofiary ataku. Następnie program próbuje połączyć się z ową nazwą domeny. Jeśli się powiedzie, pobiera i uruchamia pliki pod wskazanym pseudolosowym adresem URL. Jeśli nie uda się za pierwszym razem, próbuje powtórzyć proces aż 800 razy, tworząc każdorazowo nowy adres URL. Gwarantuje to, że złośliwe oprogramowanie pozostanie aktualizowane i nawet jeśli jedna lub więcej domen zacznie działać w trybie offline, inna może zająć jej miejsce. Niemniej jednak systemy, które są zakażone i zsynchronizowane z aktualną datą i czasem UTC obliczają i łączą się z tą samą listą nazw domen.
Opierając się na kodzie PE_LICAT.A, pobrane pliki są sprawdzane przed uruchomieniem, co przypomina modelem działania DOWNAD / Conficker. Użytkownicy, których systemy zostały zainfekowane są narażeni na pobieranie większej ilości złośliwych plików do swoich komputerów za każdym razem, kiedy uruchamia się PE_LICAT.A.
Więcej informacji o zagrożeniu można znaleźć na: http://blog.trendmicro.com
Źródło: Trend Micro