Flea es el nombre que se le ha dado esta nueva modalidad de virus que no necesita que la víctima ejecute ningún archivo para infectar la máquina. Tan sólo es necesario que se navegue por una página especialmente construida o que se previsualice un correo para quedar contagiado por este nuevo virus, que rompe con el tradicional archivo adjunto como portador de carga infecciosa.

El virus se aprovecha de la excesivamente relajada configuración por defecto de los clientes de correo Outlook y Outlook Express y se esconde tras varias capas de seguridad que impiden su detección inmediata. El código del mensaje se conecta a una web privada alojada en España (terra.es) y ejecuta un javaScript de manera completamente transparente para el usuario. Este código a su vez, descarga y ejecuta otro pequeño programa escrito en VBS (Visual Basic Script) que representa el virus en sí.

Una vez infectado, el virus cambia la configuración del navegador Internet Explorer, de manera que cada vez que se introduzca una dirección sin especificar el protocolo http://, el sistema será reinfectado, pues dirigirá la petición a la página que descarga el virus. Además deja en el sistema varios archivos c**** y c****.htm donde los asteriscos son cifras relacionadas con la fecha actual.

Este virus rompe con la idea de la necesidad de ejecutar código o previsualizar un mensaje con un archivo adjunto como condición necesaria para ser infectado por un virus. El virus se aprovecha de la capacidad del navegador para ejecutar javaScript y del motor HTML del cliente de correo de Microsoft, que por defecto intenta abrir todo enlace externo que contiene. De esta manera el código puede “salir a buscar” el código infeccioso a un servidor externo, sin que la víctima detecte movimientos extraños.

Hace pocas semanas se han descubierto varias vulnerabilidades en el motor del navegador de Microsoft, relacionados con la etiqueta OBJECT que permiten la descarga y ejecución de código arbitrario en la máquina víctima, por lo que no es de extrañar que aparezcan una serie de virus que exploten estos fallos.

Más información y referencias:

Flea bugs Windows users
http://www.theregister.co.uk/content/56/33569.html

F-Secure Virus Descriptions : Flea
http://www.f-secure.com/v-descs/flea.shtml

Sergio de los Santos
http://www.forzis.com http://foro.megamultimedia.com