Desde Hispasec hemos optado por dejar al margen las rencillas de las casas antivirus y centrarnos en el análisis de LittleDavinia, labor algo descuidada por algunos antivirus a juzgar por sus descripciones.
Invitamos a que los lectores juzguen por si mismos el peligro potencial que representa este tipo de gusanos, así como a realizar cualquier otro comentario o consulta sobre este particular, a través de la página http://www.hispasec.com/unaaldiacom.asp?id=818
Descripción
LittleDavinia está compuesto por tres módulos, una página web, un documento de Microsoft Word 2000, y un tercer fichero escrito en Visual Basic Script.
La página web es la encargada de descargar y abrir el documento de Word (LD.DOC) desde un servidor de Internet. Al abrirse el documento, sus macros se encargan de distribuir el virus a través del correo electrónico y generar un fichero en Visual Basic Script (LITTLEDAVINIA.VBS). Este último se ejecutará en el próximo inicio de sistema, mostrando un ventana con un mensaje y llevando a cabo su acci¢n m s da_ina, que no es otra que borrar todos los ficheros de las unidades existentes del sistema infectado.
M¢dulo 1 – La p gina web
La p gina web que origin¢ las primeras infecciones se encontraba hospedada en Terra (http://www.terra.es/usuarios/personal2/sergill)
y fue retirada pocas horas despu’s de ser descubierta. Cuando un usuario visualiza la p gina web infectada a trav’s de su navegador se pone en marcha el c¢digo que contiene escrito en JavaScript. Su misi¢n consiste en aprovechar una vulnerabilidad conocida de Office 2000 para desactivar la protecci¢n contra macros de Word y abrir,
sin levantar sospechas, el fichero LD.DOC hospedado en el servidor de Internet y que contiene el resto de c¢digo v¡rico.
Microsoft report¢ la vulnerabilidad como «Office 2000 UA Control Vulnerability» en mayo de 2000, donde reconoce que el control ActiveX estaba firmado erroneamente como «safe for scripting», permitiendo que se pudiera invocar de forma remota desde una p gina web y acceder a las funciones de Office 2000.
M¢dulo 2 – El documento de word
LC.DOC se abre gracias a la p gina web descrita anteriormente, el documento Word contiene un m¢dulo macro llamado Evil que es el encargado de llevar a cabo las distintas acciones. En primer lugar modifica una entrada en el registro de Windows para asegurar que en el siguiente inicio de sistema se ejecuta el fichero LITTLEDAVINIA.VBS:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunlittledavinia [directorio de sistema]littledavinia.vbs
A continuaci¢n escribe el fichero LITTLEDAVINIA.VBS, que llevaalmacenado en el interior del m¢dulo macro, en el directorio de sistema de Windows (por defecto Windows/system).
La oltima acci¢n consiste en crear un objeto Outlook, y recorre toda la libreta de direcciones para ir mandando a todos los contactos un mensaje de correo en formato HTML a trav’s del protocolo MAPI.
Cuando un usuario recibe un email infectado, enviado sin asunto, el contenido HTML del mensaje abre seis nuevas ventanas del navegador apuntando a la URL donde se encontraba la p gina web que inicia la infecci¢n (m¢dulo 1). De esta forma, sin necesidad de llevar el c¢digo del virus o gusano adjunto al mensaje de correo electr¢nico, consigue iniciar el proceso de infecci¢n de nuevos sistemas a trav’s de la p gina web que se encuentra en un servidor de Internet, ‘sta descargar el documento de Word, e iniciar todo el proceso descrito hasta ahora.
En el proceso de env¡o de mensajes a trav’s del correo electr¢nico, LittleDavinia utiliza una entrada del registro donde almacena diferentes valores que le permiten recorrer todas las carpetas y contactos de la libreta de direcciones, enviando el mensaje s¢lo a los contactos donde no se hubiera realizado con anterioridad. De esta
forma LittleDavinia controla no autoenviarse de forma repetida a un mismo contacto. La entrada que utiliza en este proceso es:
HKEY_CURRENT_USERSoftwareMicrosoftWAB
M¢dulo 3 – El fichero Visual Basic Script
LITTLEDAVINIA.VBS se ejecuta de forma autom tica en el siguiente inicio de sistema tras la infecci¢n. Lo primero que realiza son dos escrituras en el registro de Windows, la primera para cambiar la p gina de inicio de Internet Explorer:
HKCUSoftwareMicrosoftInternet ExplorerMainStart Page
http://
y la segunda que apunta a un fichero HTML con el nombre del virus:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunDavinia
[directorio de sistema]littledavinia.html
A continuaci¢n recorre el sistema en busca de todas las unidades, incluidas las de red, y por cada fichero que encuentra crea un .HTML con el mismo nombre y borra el original, lo que aparenta la sobreescritura de dichos ficheros. Al finalizar el recorrido por todas las unidades crea el fichero littledavinia.html en el directorio
sistema de Windows.
El contenido de los ficheros HTML que crea contiene c¢digo en Visual Basic Script encargado de visualizar el siguiente cuadro de di logo:
Onel2 – Melilla
Hola, tu nombre es [nombre de usuario infectado].
Tu email es [direccion de correo del usuario infectado]. Yo soy Onel2, y vivo en Melilla una ciudad del norte de Africa.
Estoy enamorado de una chica llamada Davinia. Ella es la mas guapa del mundo. Es como una diosa. Igual que yo me contagie de amor de Davinia, tus archivos se van a contagiar de amor de esta pagina Davinia(chica) y Davinia(virus) rompen corazones y archivos. littledavinia version 1.1 esta en camino…
[Anular] [Reintentar] [Ignorar]
El nombre de usuario infectado y su direcci¢n de correo son recogidos por LittleDavinia leyendo las siguientes entradas del registro de Windows:
HKCUSoftwareMicrosoftInternet Account ManagerAccounts0000001SMTP
Display Name
HKCUSoftwareMicrosoftInternet Account ManagerAccounts0000001SMTP
Email Address
Firma del autor
Todos los ficheros que crea LittleDavinia: la p gina web que infecta desde Internet, el documento de Word (LC.DOC), el fichero Visual Basic Script (LITTLEDAVINIA.VBS), as¡ como los ficheros HTML, contienen en su inicio los siguientes comentarios:
littledavinia version 1.0 Visual Basic Macro – VBS – HTML(vbs) Worm virus
Office 2000 UA ActiveX bug
written by: Onel 2 / Melilla, Espa_a / 25 Diciembre
quiero a Davinia:
Desinfecci¢n manual
Si nos infectamos con LittleDavinia, al visualizar una p gina Web o recibir un correo infectado, se descargar el documento de Word (LC.DOC) y crear el fichero LITTLEDAVINIA.VBS en el directorio de sistema de Windows (por defecto Windows/system).
El paso fundamental consiste en borrar la entrada de registro que lanzar¡a a LITTLEDAVINIA.VBS en el siguiente inicio de sistema, llevando a cabo su acci¢n m s da_ina. Para evitarlo tendremos que ejecutar la utilidad REGEDIT.EXE y borrar la entrada:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunDavinia
[directorio de sistema]littledavinia.html
Por oltimo, no debemos volver a visualizar la p gina web que le infect¢, o borrar el mensaje de correo que lo inici¢, as¡ como localizar y borrar los ficheros LC.DOC y LITTLEDAVINIA.VBS.
Inmunizarnos contra LittleDavinia
Es f cil mantener nuestro sistema inmunizado contra LittleDatinia o espec¡menes similares que aprovechen la misma vulnerabilidad. Basta con instalar el parche que Microsoft facilita para solucionar el problema del control ActiveX que acompa_a a Office 2000, disponible en la direcci¢n:
http://officeupdate.microsoft.com/info/ocx.htm
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=818
M s informaci¢n:
HTML/LittleDavinia
http://www.pandasoftware.es/enciclopedia/gusano/HTMLLittleDavinia_1.htm
Panda Software Warns Over Little Davinia Worm
http://www.newsbytes.com/news/01/160525.html
Little Davinia worm wipes company data
http://www.zdnet.co.uk/news/2001/2/ns-20232.html
HTML/LittleDavinia, un nuevo y peligro gusano
http://www.pandasoftware.es/vernoticia.asp?noticia=823
European firms hit by potent new virus
http://www.vnunet.com/News/1116313
Anger at «overblown» virus warning
http://www.vnunet.com/News/1116330
LittleDavinia Worm Discovered in Europe
http://www.ntsecurity.net/Articles/Index.cfm?ArticleID=16569
VBS_DAVINIA.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_DAVINIA.A
VBS.Davinia
http://service1.symantec.com/sarc/sarc.nsf/html/VBS.Davinia.html
VBS/Davinia@MM
http://vil.nai.com/vil/dispvirus.asp?virus_k=98964
VBS/Davinia-A
http://www.sophos.com/virusinfo/analyses/vbsdaviniaa.html
What¡s So Special About «Davinia»?
http://www.avp.ru/news.asp?tnews=0&nview=4&id=150&page=0
Office 2000 UA Control Vulnerability
http://www.microsoft.com/technet/security/bulletin/ms00-034.asp
No reports of Davinia worm
http://www.sophos.com/virusinfo/articles/davinia.html
Little Davinia virus not widespread
http://www.f-secure.com/v-descs/ldavinia.shtml
Panda punished over virus warning fiasco
http://www.vnunet.com/News/1116640
Bernardo Quintero
bernardo@hispasec.com
http://www.hispasec.com
