Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Lo que usted debe saber sobre el virus "Davinia"
 
VSantivirus No. 194 - Año 5 - Jueves 18 de enero de 2001

El pasado 13 de enero, describíamos en nuestro boletín un virus considerado de extrema peligrosidad, reportado por la empresa Panda software (ver VSantivirus No. 189 - Año 5 - Sábado 13 de enero de 2001, HTML/LittleDavinia. Borra todo su disco duro... por amor).

Aunque algunos medios, e incluso otras empresas antivirus, expusieron algunas dudas sobre el verdadero alcance de esta alerta, lo cierto es que existió un pico de alarma desde el momento del primer reporte, hasta que la página culpable de la infección fue quitada de la Web. Luego la alarma se disipó, al no presentarse nuevos casos.

Sin embargo, es muy importante tener en cuenta que algunas características de este virus, nos enfrentan a nuevas técnicas, y por lo tanto, también a nuevos peligros, los cuáles por cierto, aún existen. 

¿Los antivirus son capaces de detectarlo?

Al día de hoy, todas las principales empresas de antivirus, ya cuentan con las actualizaciones que detectan y neutralizan a este virus.

¿Cómo se propaga el virus "Davinia"?

Este virus utiliza el cliente de correo MS Outlook para propagarse. Sin embargo, el gusano utiliza una manera muy sofisticada de ingresar a nuestra computadora.

¿Cuál es entonces el proceso de infección?

Primero, un mensaje de correo electrónico es enviado a nuestra computadora. El mensaje, contiene un script que automáticamente abre una ventana del Internet Explorer después que el mensaje es leído, iniciándose una conexión al sitio o página del hacker o atacante.

El virus posee además otro script que a su vez abre un documento Word, localizado en el mismo sitio mencionado anteriormente. Este documento contiene un virus de macro, que sin el conocimiento del usuario, desactiva la protección contra virus del Word 2000. De este modo, no seremos avisados de la presencia de macros en ese documento, el cuál es abierto y ejecutado sin nuestra acción directa, y sin que nos enteremos en ningún momento de este proceso.

Para hacer todo esto, el virus explota la vulnerabilidad conocida como "Office 2000 UA Control Vulnerability", descubierta en el mes de mayo de 2000, y para la que ya existe un parche.

Luego de ello, el gusano accede al Outlook, captura la lista de contactos de la libreta de direcciones, enviándoles a todos ellos, mensajes conteniendo enlaces al sitio Web descripto arriba.

Como vemos, existen por lo tanto, dos partes bien definidas del virus.

Una es la que recibimos vía e-mail y ocasiona la apertura del explorador.

La otra parte, está presente únicamente en el sitio Web remoto, y en el mensaje que llega a nuestra computadora existe un enlace a dicho sitio.

¿Cuáles son sus características destructivas?

El virus "Davinia" es altamente destructivo. Reemplaza todos los archivos localizados en todos los discos duros de nuestra computadora, por un archivo que despliega un mensaje en español cuando es ejecutado.

Como los archivos no son borrados ni renombrados, sino suplantados por el contenido de este archivo, la recuperación de los originales es imposible, salvo que se haga desde algún respaldo total de nuestros discos.

¿Debemos preocuparnos si tenemos nuestro antivirus al día?

Nada impide que en el futuro, otras modificaciones de este gusano lleguen a aparecer (tal vez ocurra dentro de muy poco), utilizando otros sitios Web con propósitos maliciosos, además de implementar nuevas características. Por lo pronto, esta versión es detectada por los principales antivirus, siempre que los tenga al día por supuesto.

¿Afecta a todos los usuarios?

No. Solamente los usuarios con Office 2000 son perjudicados por esta versión del virus.

¿Que debo hacer entonces?

Lo que se aconseja como primera medida, es instalar el parche que cierra esta vulnerabilidad del Office 2000 ("Office 2000 UA Control Vulnerability"), el cuál está disponible en 
http://www.microsoft.com/technet/security/bulletin/ms00-034.asp

Y por supuesto, no olvide mantener sus antivirus al día.


Más información:

Descripción del virus (VSantivirus No. 189)
13/ene/01 - HTML/LittleDavinia. Borra todo su disco duro... por amor

Office 2000 UA Control
http://officeupdate.microsoft.com/2000/downloadDetails/Uactlsec.htm

Office 2000 UA Control Vulnerability (parche)
http://www.microsoft.com/technet/security/bulletin/ms00-034.asp

Ver también:
26/nov/00 - Pautas generales para mantenerse alejado de los virus 
13/ene/01 - HTML/LittleDavinia. Borra todo su disco duro... por amor
07/feb/01 - HTML/LittleDavinia.B. Una nueva versión de Davinia

 

Copyright 1996-2001 Video Soft BBS