Descrizione Breve

JS/Flea.A e' un worm che agisce come signature in un messaggio di posta elettronica in formato HTML. Per nascondersi e rendere l'analisi piu' difficile Flea usa vari layer di encryption.

Flea si attiva quando una mail, in formatto HTML, infetta viene aperta; In quel momento il worm si connette ad un sito web in Spagna e scarica ed esegue del codice Javascript. Il codice Javascript scarica del codice in Visual Basic script che a sua volta viene eseguito. Il codice Visual Basic Script contiene il codice del worm.

Il codice in Visual Basic script cambia le impostazioni di Internet Explorer in modo che qualunque URL inserito senza specificare il protocollo (in genere http) sia rediretto al codice del worm causando la reinfezione del sistema.

Il worm cerca di aggiungere vari pulsanti a IE con le etichette "SEARCH", "ANTIVIRUS", "PILLS" e "SECURITY". Selezionando una qualunque di questi pulsanti si causa la riattivazione di Flea.

Quando e' eseguito Flea copia 2 file all'interno della cartella di installazione di Windows, "c****.htm" e "c****". In entrambi i casi "****" e' un numero generato dalla data corrente. Il file HTM contiene la firma che il worm appende ad ogni messaggio inviato mentre il file senza estensione contiene i cambiamenti che verranno apportati al file di registro del sistema infettato.

Il worm altera anche la "firma" e i settaggi di Outlook Express 5.x e 6.x. Dopo queste modifiche tutti i messaggi inviati da un sistema infetto conterranno il link, nascosto, al codice del worm.

Rilevazione

F-Secure Anti-Virus è in grado di rilevare il worm con gli aggiornamenti pubblicati il 21 Ottobre 2003:

[FSAV_Database_Version]

Version=2003-10-21_01

F-Secure Corporation