[Este texto ha sido elaborado con la información aportada en su sitio por Panda Software]

Panda Software ha sido la primera compañía en reportar la existencia de un nuevo y peligroso virus, capaz de propagarse a partir de la simple visita a una página Web maliciosa. Su acción se inicia mediante la descarga involuntaria de Internet, por parte del usuario, de un documento que se abre automáticamente.

En la tarde del viernes 12 de enero, fue detectado en un conocido portal de Internet, una página conteniendo el peligroso código viral. A partir de allí se generaron una importante cantidad de equipos y usuarios infectados, que fueron los que dieron el alerta.

A pesar de la rápida respuesta, en pocas horas, importantes empresas reportaron la grave pérdida de datos producidas por el virus, según informa Panda en su sitio.

Panda también advierte, que a pesar que desde las 17.30 del viernes (hora de España), y ante su aviso, el portal dio de baja la página infectada, el riesgo de infección aún se mantiene. Por otra parte, hay que ser conscientes que nada impediría que el gusano se propagara desde otros portales o sitios de mucho tráfico, en las próximas horas.

El HTML/LittleDavinia, sólo afecta a aquellos que tengan instalado en su PC, el Word 2000.

Se trata de una mezcla de gusano de HTML, Visual Basic Script, correo y macro, programado en España por quien firma como Onel2, supuestamente en referencia al autor del Loveletter, el filipino Onel de Guzmán (Ver en nuestro sitio 07/may/00 - Especial sobre el LoveLetter).

El virus puede propagarse en un mensaje de correo con las siguientes características:

Asunto: [vacío]
Texto: [contiene el código HTML del virus]

Cuando el visitante se conecta a la página infectada, se abren en su PC varias sesiones del explorador, todas con el mismo contenido.

Mientras esto ocurre, el virus descargará en la computadora del visitante de esa página, un documento de Word llamado LD.DOC.

Este documento contiene macros que sólo funcionan en Word 2000. Por otra parte, el propio gusano se encarga de abrirlo sin mostrar ningún tipo de aviso que advierta a los usuarios de la presencia de macros en el mismo.

El código de la macro de este documento, se encarga de crear el archivo LITTLEDAVINIA.VBS en el directorio C:\WINDOWS\SYSTEM.

Una vez creado este archivo, el gusano envía un mensaje de correo electrónico a todos las contactos de la libreta de direcciones. El cuerpo de este mensaje contiene el código HTML encargado de conectarse a cualquiera página Web que contenga el virus.

Finalmente, el virus revisará todos los directorios de todos los discos duros del sistema infectado, y los sobrescribirá con el código HTML que había generado anteriormente. De este modo se perderá toda la información del equipo afectado, no siendo posible su recuperación.

Como vimos, este gusano utiliza el correo electrónico para extender su infección a otros equipos. Los mensajes enviados carecen de "Asunto" y contienen código HTML en el cuerpo del mensaje. Este código es el encargado de establecer la conexión con alguna página Web, donde está ubicado el gusano.

Una vez que el sistema ha sido afectado por este gusano, se puede observar la creación de un archivo llamado LITTLEDAVINIA.VBS en el directorio C:\WINDOWS\SYSTEM.

Por otra parte, al reiniciarse el equipo afectado, el archivo LITTLEDAVINIA.VBS se ejecutará de manera automática. Este archivo obtiene el nombre del usuario y su dirección de correo del registro de configuración de Windows.

Una vez que ha conseguido estos datos, el gusano genera un texto en HTML capaz de mostrar una y otra vez una ventana con el siguiente mensaje:

VBSScript: Onel2 - Melilla

Hola, tu nombre es Joe.
Tu email es joe@hotmail.com
Yo soy Onel2, y vivo en Melilla
una ciudad del norte de Africa.
Estoy enamorado de una chica llamada Davinia.
Ella es la más guapa del mundo.
Es como una diosa.
Igual que yo me contagie de amor
de Davinia, tus archivos se van a
contagiar de amor de esta página
Davinia(chica) y Davinia(virus) rompen corazones y archivos.
littledavinia version 1.1 esta en camino...

[  Anular  ] [  Reintentar  ] [  Ignorar  ]

Tras la creación de este código, el virus revisa todos los directorios de todos los discos duros, y además todas las unidades de red a las que el equipo infectado tenga acceso, procediendo luego a sobrescribir todos los archivos encontrados allí, con el código HTML que acaba de crear. En consecuencia se perderán todos los archivos del sistema afectado, siendo imposible su recuperación. 

Además, se produce también este cambio en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
littledavinia = C:\WINDOWS\SYSTEM\LITTLEDAVINIA.VBS

De este modo el gusano será ejecutado en el próximo reinicio de Windows. Este archivo será el encargado de enviar los mensajes de correo mencionados antes.

Una vez enviados estos mensajes el virus modifica esta entrada del registro:

HKCU\Software\Microsoft\WAB

El virus comprobará esta entrada antes de enviarse, cosa que hará solo si dicha entrada se encuentra vacía (si no tiene un valor asignado). Cuando ya se haya enviado por correo una vez, el virus asignará un valor a dicha entrada, impidiendo se vuelva a reenviar.

Cuando el usuario reinicia la máquina, el archivo LITTLEDAVINIA.VBS se ejecutará de modo automático. Este archivo obtiene el nombre del usuario y su dirección de correo del registro de las siguientes entradas del registro de Windows:

HKCU\Software\Microsoft\Internet Account Manager
\Accounts\00000001\SMTP Display Name

HKCU\Software\Microsoft\Internet Account Manager
\Accounts\00000001\SMTP Email Address

Estos son los datos que el gusano utiliza para, crear el texto en código HTML, el cuál también será usado para sobrescribir todos los archivos que se encuentren en todas las unidades del sistema, incluidas las de red.

El virus contiene el siguiente texto:

littledavinia version 1.0 Visual Basic Macro - VBS - HTML(vbs) Worm Virus
Office 2000 UA ActiveX bug
written by: Onel 2 / Melilla,España / 25 Diciembre 
Quiero a Davinia:

Fuente: Panda Software (http://www.pandasoftware.es)


Temas relacionados:

Deshabilitar el Windows Scripting Host en nuestro PC

Podemos evitar la ejecución del archivo LITTLEDAVINIA.VBS, si deshabilitamos las opciones de Windows Scripting Host de nuestro PC (pero recuerde que debido a las características de este virus en especial, esta acción no nos protege de todas las acciones del mismo).

El Windows Scripting Host (WSH) puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus que utilizen Visual Basic Script (VBS). Está instalado por defecto en Windows 98 y posteriores, no así en Windows 95, donde deberá ser instalado de querer usarse.

Probablemente un usuario común no requiera de estas tareas, ya que estas posibilidades suelen ser usadas solamente por usuarios avanzados o expertos.

Para desactivar el Windows Scripting Host de su escritorio, proceda de la siguiente manera:

Desde el Panel de Control (Mi PC, Panel de Control), Agregar o quitar programas, Instalación de Windows, Accesorios, pinche en Detalles, y desmarque "Windows Scripting Host". Reinicie su PC.

En Windows Me no se puede desactivar el Windows Scripting Host de la misma manera. Pero existe un programa de Symantec (Norton) que lo hace, modificando el registro. Este programa funciona en Windows 95/98/NT4/2000 y Me. Su nombre es NOSCRIPT.EXE (127 Kb) y puede ser bajado de aquí y luego ejecutarse. Es de uso gratuito.

Volviéndolo a ejecutar, el registro queda como estaba anteriormente.


Ver también:
26/nov/00 - Pautas generales para mantenerse alejado de los virus 
18/ene/01 - Lo que usted debe saber sobre el virus "Davinia"
07/feb/01 - HTML/LittleDavinia.B. Una nueva versión de Davinia