Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit, meldet, dass ein mehrkomponentiger Schädling entdeckt worden ist, der sich mit Hilfe des populären Internet-Pagers Windows (.NET) Messenger verbreitet. Die Malware enthält einen Trojaner, der die Registrier-Daten für die Computer-Spiele Counter-Strike und Half-Life entwendet. Fleming versucht außerdem andere Schädlinge aus dem Internet herunterzuladen und zu starten. Zur Zeit liegen bereits einige Meldungen über Infizierungen vor.

Der Schädling besteht aus einer 32bite-Windows-Anwendung (EXE-Datei), die in der Programmiersprache Visual Basic geschrieben ist. Der Wurm verbreitet sich mit Hilfe des Internet-Pagers Windows (.NET) Messenger, der in Windows XP integriert ist. Die verschickte Meldung ist ein Text in Englisch mit dem Vorschlag ein angeblich vom Absender selbst entwickeltes Programm herunterzuladen:

Die in der Meldung angegebene Internet-Adresse ("http://home.no.net/downl0ad/BR2002.exe") enthält eine Kopie des Wurms.

Fleming installiert sich nicht selbst im System, sondern funktioniert nur dann, wenn er durch einen User gestartet wird (z.B. bei einem Doppelklick auf das Piktogramm des Wurms im Windows Explorer). Wenn er geladen wird, versucht der Wurm zwei Dateien von der Web-Site http://home.no.net/downl0ad/ herunterzuladen und zu starten. Diese Dateien werden dann unter folgenden Pfaden abgespeichert:

C:\update35784.exe
C:\hehe2397824.exe

Danach stellt der Wurm eine Verbindung mit der Windows (.NET) Messenger-Anwendung her und wartet auf Meldungen. Wenn er gewisse Meldungen vom User styggefolk@hotmail.com erhält, sendet er eine Antwort, welche die Registrier-Daten (CD-Key) von Half-Life und Counter-Strike enthält.

Fleming sucht außerdem nach Adressen im Adressverzeichnis von Windows (.NET) Messenger und verschickt an diese Adressen seine Meldung.

Nach Angaben von Kaspersky Labs ist die Web-Site http://home.no.net/downl0ad/BR2002.exe zur Zeit blockiert.