|
VSantivirus No. 214 - Año 5 - Miércoles 7 de febrero de 2001
HTML/LittleDavinia.B. Una nueva versión de Davinia
http://www.vsantivirus.com/davinia-b.htm
Nombre: HTML/LittleDavinia.B (Davinia.C)
Tipo: Gusano de HTML, VBS, correo y Macro
Alias: VBS.Davinia.C, W97M/Davinia.C, JS.Davinia.C, HTML/LittleDavinia.C
[Este texto ha sido elaborado con la información aportada en su sitio por Panda Software
http://www.pandasoftware.es/]
Una nueva versión del gusano LittleDavinia (o Davinia), ha sido detectado en la página
http://www.terra.es/personal2/jackis2, según informa Panda.
Este virus utiliza el cliente de correo MS Outlook para propagarse. Sin embargo, el gusano usa una manera muy sofisticada de actuar.
Primero, un mensaje de correo electrónico es enviado a nuestra computadora. El mensaje, contiene un script que automáticamente abre una ventana del Internet Explorer después que el mensaje es leído, iniciándose una conexión al sitio o página del hacker o atacante.
Cuando nos conectamos a esa página, la cuál contiene otra parte del virus, se abren múltiples ventanas, todas con el mismo contenido, la mencionada página.
También en ese momento, un documento llamado LD.DOC será descargado en forma automática a nuestra computadora. El mismo contiene macros que solo funcionan en Word 2000 y Word 97.
La siguiente acción del gusano, será modificar el Word, de modo que
LD.DOC será abierto sin mostrar ningún tipo de advertencia sobre la presencia de macros en el documento.
El código del documento, se encargará de crear un archivo (LITTLEDAVINIA.VBS) que se copiará en el directorio
C:\WINDOWS\SYSTEM. Una vez creado este archivo, el gusano envía un mensaje de correo electrónico a todos las contactos de la libreta de direcciones.
Este mensaje, también posee código HTML, el cuál pedirá conectarse hasta 5 veces, a la página Web que contiene la otra parte del virus.
Los mensajes recibidos carecen de ASUNTO, y contienen texto con formato
HTML.
Cuando el mensaje es abierto, es cuando actúa la primera parte del virus, la que intenta conectarse a la página Web para bajar la segunda parte.
Cada vez que Windows se reinicie, el archivo LITTLEDAVINIA.VBS se ejecutará de modo automático. Este archivo variará en cada ejecución y obtiene el nombre del usuario de la siguiente entrada del registro de Windows:
HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001\
SMTP Display Name = [nombre del usuario]
Si la entrada estuviera vacía se le asignará un nombre por defecto:
"usuario".
Es posible encontrar en un sistema infectado, el archivo LITTLEDAVINIA.VBS, también creado por el virus, el cuál debe ser borrado.
El gusano creará también un texto con formato HTML (infectado), el cuál se mostrará en una ventana de mensajes:
VBScript: littledavinia 2.0 by Onel2
Hola, creo que te llamas [nombre del usuario].
Yo soy Onel2, de una pequeña ciudad, Melilla.
Llevo 4 años enamorado de una chica llamada Davinia.
Ella es guapísima y está buenísima.
Quería declararle mi amor de una forma
poco usual, por eso cree a este virus como
excusa para declararle mi amor.
Davinia: eres la chica más bonita que he visto.
Tus maravillosos ojos negros, tu cabello rubio y tu
cuerpo perfecto aparecen todos los días en mis sueños.
¿Quieres salir conmigo?
[ Sí ] [ No ]
Este mensaje se mostrará en pantalla una cantidad increíble de veces, (hasta
2^50 veces).
Luego de creado el texto, el virus buscará archivos .HTM, .HTML o
.URL, en todos los directorios de todos los discos duros y todas las unidades de red a las que el equipo infectado tenga acceso, y los sobrescribirá con el propio código HTML del virus.
Luego de ello, el virus asigna el valor LITTLEDAVINIA.HTML a la siguiente entrada del registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Davi = LITTLEDAVINIA.HTML
Finalmente, HTML/LittleDavinia.B modifica su propio código de manera que la siguiente vez que se arranque el equipo y se ejecute el archivo
LITTLEDAVINIA.HTML, el virus buscará archivos con cualquier extensión a través de todas las unidades de red y de todos los directorios y sobrescribirá éstos con su código. De este modo se perderá toda la información del equipo.
El código del virus contiene el siguiente texto:
Littledavinia 2.0
Scriplet.TypeLib and Office 2000 UA Controls bug
Written by Onel2 / 25 Enero 2001/ Melilla, España
Quiero a Davinia:
GAME OVER. La declaración ha terminado. ¿Cuál sera la respuesta de Davinia?(Espero que me diga si, porque sino tendre que crear a littledavinia 2.1,2.2,2.3…3.0)
Fuente: Panda Software
Ver también:
26/nov/00 - Pautas generales para mantenerse alejado de los virus
13/ene/01 - HTML/LittleDavinia. Borra todo su disco duro... por amor
18/ene/01 - Lo que usted debe saber sobre el virus "Davinia"
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|