|
|
| Nombre: | VBS/Davinia Alias: HTML/LittleDavinia, W97M/Davinia@MM |
| Tipo: | Gusano E-mail |
| Tamaño: | N/A |
| Origen: | Internet |
| Destructivo: | SI (sobreescribe todos los archivos) |
| En la calle (in the wild): | NO |
| Eliminación | The Hacker 4.10 al 15/01/2001 |
Descripción
VBS/Davinia es un gusano que se activa al visitar una página web infectada en Internet. La página web contiene código que explota un fallo de seguridad de ActiveX (Office 2000 UA Control Vulnerability), este fallo de seguridad permite abrir aplicaciones de Office 2000 sin consentimiento del usuario y sin mostrar ningún mensaje de advertencia.
VBS/Davinia también puede llegar por e-mail en código HTML, en este caso el código HTML no contiene el gusano sino que conecta el navegador a una página web infectada.
VBS/Davinia se activa al abrir una página web infectada, desde esta página web el gusano descarga un documento "LD.DOC" y lo abre en Ms Word, todo esto sin que el usuario se entere por supuesto.
Al abrirse el archivo LD.DOC se activa una de sus macros ("evil") que realiza las siguientes acciones:
- Crea un archivo LITTLEDAVINIA.VBS en la carpeta \Windows\System y modifica el registro (sección run=") para ejecutar el archivo VBS en el siguiente inicio del sistema.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\littledavinia" = "\windows\system\littledavinia.vbs"
\Windows\System = Depende de la configuración del sistema
- Envía un mensaje de e-mail a todos los contactos en la libreta de direcciones del Outlook, el sujeto de estos mensajes están en Blanco, el cuerpo del mensaje contiene código HTML que conecta el navegador hacia una página web infectada.
Al reinicializar el sistema se ejecuta el archivo LITTLEDAVINIA.VBS que
activa la RUTINA DESTRUCTIVA, sobreescribe todos los archivos del disco duro
con el siguiente contenido en código HTML:
Hola, tu nombre es {Nombre}
Tu email es {Dirección e-mail}
Yo soy Onel2, y vivo en Melilla
una ciudad del norte de Africa.
Estoy enamorado de una chica llamada Davinia.
Ella es la mas guapa del mundo.
Es como una diosa.
Igual que yo me contagie de amor
de Davinia, tus archivos se van a
contagiar de amor de esta pagina
Davinia(chica) y Davinia(virus) rompen corazones y archivos.
littledavinia version 1.1 esta en camino...
OTROS
El gusano parece haber sido creado en España, contiene:
Rem littledavinia version 1.0 Visual Basic Macro - VBS - HTML(vbs) Worm virus
Rem Office 2000 UA ActiveX bug
Rem written by: Onel 2 / Melilla, España / 25 Diciembre
Rem quiero a Davinia:
DETECCION Y ELIMINACION DEL VIRUS
- Para detectar y eliminar VBS/Davinia en todas sus modalidades (código
HTML en Página web e E-mail, archivo VBS,.documento de MS Word) utilice
The Hacker 4.10 al 15/01/2001
RECOMENDACIONES
- Se recomienda instalar el parche de Microsoft contra este fallo de seguridad
desde: http://support.microsoft.com/support/kb/articles/Q262/7/67.asp
Derechos reservados 1992/2001 HackSoft S.R.L. Lima-Perú