• Quienes somos
  • Nuestra Historia
  • Contactar
  • Políticas de Privacidad
  • Políticas IA
  • FUNDACIÓN
Informativos.Net
Medio online independiente desde 1999
Informativos.Net
  • Inicio
  • Life Style Magazine
  • Editorial
  • Secciones
    • Actualidad
    • Cultura
    • Entrevistas
    • Fake News
    • Gastronomia-Vinos
    • LifeStyle & Destinos
    • Medio Ambiente y Renovables
    • Seguridad, Autoprotección y emergencias
    • Salud
  • Archivo
    • Otros Paises
    • Panorama Mundial
    • Música
    • Noticias Curiosas
    • Cine
    • Empresas
    • Motor
    • Opinión del Lector
    • Chile
    • Catalunya
    • Publi-Reportajes
    • Tecnología
    • Vela
  • Políticas IA
  • Autores
    • Gema Castellano
    • Jose Escribano
    • Abel Marín
    • Christian Correa
    • Gustavo Egusquiza
    • Jesús Belenguer
    • Jose Anastasio Urra Urbieta
    • Pablo Arce
  • Sobre Gema Castellano
Tecnología

AN-LISIS DEL GUSANO LITTLEDAVINIA

escrito por Jose Escribano 22 de enero de 2001
0FacebookTwitterPinterestLinkedinRedditWhatsappTelegramThreadsBlueskyEmail
212

Desde Hispasec hemos optado por dejar al margen las rencillas de las casas antivirus y centrarnos en el análisis de LittleDavinia, labor algo descuidada por algunos antivirus a juzgar por sus descripciones.
Invitamos a que los lectores juzguen por si mismos el peligro potencial que representa este tipo de gusanos, así como a realizar cualquier otro comentario o consulta sobre este particular, a través de la página http://www.hispasec.com/unaaldiacom.asp?id=818

Descripción

LittleDavinia está compuesto por tres módulos, una página web, un documento de Microsoft Word 2000, y un tercer fichero escrito en Visual Basic Script.

La página web es la encargada de descargar y abrir el documento de Word (LD.DOC) desde un servidor de Internet. Al abrirse el documento, sus macros se encargan de distribuir el virus a través del correo electrónico y generar un fichero en Visual Basic Script (LITTLEDAVINIA.VBS). Este último se ejecutará en el próximo inicio de sistema, mostrando un ventana con un mensaje y llevando a cabo su acci¢n m s da_ina, que no es otra que borrar todos los ficheros de las unidades existentes del sistema infectado.

M¢dulo 1 – La p gina web

La p gina web que origin¢ las primeras infecciones se encontraba hospedada en Terra (http://www.terra.es/usuarios/personal2/sergill)
y fue retirada pocas horas despu’s de ser descubierta. Cuando un usuario visualiza la p gina web infectada a trav’s de su navegador se pone en marcha el c¢digo que contiene escrito en JavaScript. Su misi¢n consiste en aprovechar una vulnerabilidad conocida de Office 2000 para desactivar la protecci¢n contra macros de Word y abrir,
sin levantar sospechas, el fichero LD.DOC hospedado en el servidor de Internet y que contiene el resto de c¢digo v¡rico.

Microsoft report¢ la vulnerabilidad como «Office 2000 UA Control Vulnerability» en mayo de 2000, donde reconoce que el control ActiveX estaba firmado erroneamente como «safe for scripting», permitiendo que se pudiera invocar de forma remota desde una p gina web y acceder a las funciones de Office 2000.

M¢dulo 2 – El documento de word

LC.DOC se abre gracias a la p gina web descrita anteriormente, el documento Word contiene un m¢dulo macro llamado Evil que es el encargado de llevar a cabo las distintas acciones. En primer lugar modifica una entrada en el registro de Windows para asegurar que en el siguiente inicio de sistema se ejecuta el fichero LITTLEDAVINIA.VBS:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunlittledavinia [directorio de sistema]littledavinia.vbs

A continuaci¢n escribe el fichero LITTLEDAVINIA.VBS, que llevaalmacenado en el interior del m¢dulo macro, en el directorio de sistema de Windows (por defecto Windows/system).

La oltima acci¢n consiste en crear un objeto Outlook, y recorre toda la libreta de direcciones para ir mandando a todos los contactos un mensaje de correo en formato HTML a trav’s del protocolo MAPI.

Cuando un usuario recibe un email infectado, enviado sin asunto, el contenido HTML del mensaje abre seis nuevas ventanas del navegador apuntando a la URL donde se encontraba la p gina web que inicia la infecci¢n (m¢dulo 1). De esta forma, sin necesidad de llevar el c¢digo del virus o gusano adjunto al mensaje de correo electr¢nico, consigue iniciar el proceso de infecci¢n de nuevos sistemas a trav’s de la p gina web que se encuentra en un servidor de Internet, ‘sta descargar  el documento de Word, e iniciar  todo el proceso descrito hasta ahora.

En el proceso de env¡o de mensajes a trav’s del correo electr¢nico, LittleDavinia utiliza una entrada del registro donde almacena diferentes valores que le permiten recorrer todas las carpetas y contactos de la libreta de direcciones, enviando el mensaje s¢lo a los contactos donde no se hubiera realizado con anterioridad. De esta
forma LittleDavinia controla no autoenviarse de forma repetida a un mismo contacto. La entrada que utiliza en este proceso es:

HKEY_CURRENT_USERSoftwareMicrosoftWAB

M¢dulo 3 – El fichero Visual Basic Script

LITTLEDAVINIA.VBS se ejecuta de forma autom tica en el siguiente inicio de sistema tras la infecci¢n. Lo primero que realiza son dos escrituras en el registro de Windows, la primera para cambiar la p gina de inicio de Internet Explorer:

HKCUSoftwareMicrosoftInternet ExplorerMainStart Page
http://

y la segunda que apunta a un fichero HTML con el nombre del virus:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunDavinia
[directorio de sistema]littledavinia.html

A continuaci¢n recorre el sistema en busca de todas las unidades, incluidas las de red, y por cada fichero que encuentra crea un .HTML con el mismo nombre y borra el original, lo que aparenta la sobreescritura de dichos ficheros. Al finalizar el recorrido por todas las unidades crea el fichero littledavinia.html en el directorio
sistema de Windows.

El contenido de los ficheros HTML que crea contiene c¢digo en Visual Basic Script encargado de visualizar el siguiente cuadro de di logo:

Onel2 – Melilla
Hola, tu nombre es [nombre de usuario infectado].
Tu email es [direccion de correo del usuario infectado]. Yo soy Onel2, y vivo en Melilla una ciudad del norte de Africa.
Estoy enamorado de una chica llamada Davinia. Ella es la mas guapa del mundo. Es como una diosa. Igual que yo me contagie de amor de Davinia, tus archivos se van a contagiar de amor de esta pagina Davinia(chica) y Davinia(virus) rompen corazones y archivos. littledavinia version 1.1 esta en camino…

[Anular] [Reintentar] [Ignorar]

El nombre de usuario infectado y su direcci¢n de correo son recogidos por LittleDavinia leyendo las siguientes entradas del registro de Windows:

HKCUSoftwareMicrosoftInternet Account ManagerAccounts0000001SMTP
Display Name

HKCUSoftwareMicrosoftInternet Account ManagerAccounts0000001SMTP
Email Address

Firma del autor

Todos los ficheros que crea LittleDavinia: la p gina web que infecta desde Internet, el documento de Word (LC.DOC), el fichero Visual Basic Script (LITTLEDAVINIA.VBS), as¡ como los ficheros HTML, contienen en su inicio los siguientes comentarios:

littledavinia version 1.0 Visual Basic Macro – VBS – HTML(vbs) Worm virus
Office 2000 UA ActiveX bug
written by: Onel 2 / Melilla, Espa_a / 25 Diciembre
quiero a Davinia:

Desinfecci¢n manual

Si nos infectamos con LittleDavinia, al visualizar una p gina Web o recibir un correo infectado, se descargar  el documento de Word (LC.DOC) y crear  el fichero LITTLEDAVINIA.VBS en el directorio de sistema de Windows (por defecto Windows/system).

El paso fundamental consiste en borrar la entrada de registro que lanzar¡a a LITTLEDAVINIA.VBS en el siguiente inicio de sistema, llevando a cabo su acci¢n m s da_ina. Para evitarlo tendremos que ejecutar la utilidad REGEDIT.EXE y borrar la entrada:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunDavinia
[directorio de sistema]littledavinia.html

Por oltimo, no debemos volver a visualizar la p gina web que le infect¢, o borrar el mensaje de correo que lo inici¢, as¡ como localizar y borrar los ficheros LC.DOC y LITTLEDAVINIA.VBS.

Inmunizarnos contra LittleDavinia

Es f cil mantener nuestro sistema inmunizado contra LittleDatinia o espec¡menes similares que aprovechen la misma vulnerabilidad. Basta con instalar el parche que Microsoft facilita para solucionar el problema del control ActiveX que acompa_a a Office 2000, disponible en la direcci¢n:

http://officeupdate.microsoft.com/info/ocx.htm

Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=818

M s informaci¢n:

HTML/LittleDavinia
http://www.pandasoftware.es/enciclopedia/gusano/HTMLLittleDavinia_1.htm

Panda Software Warns Over Little Davinia Worm
http://www.newsbytes.com/news/01/160525.html

Little Davinia worm wipes company data
http://www.zdnet.co.uk/news/2001/2/ns-20232.html

HTML/LittleDavinia, un nuevo y peligro gusano
http://www.pandasoftware.es/vernoticia.asp?noticia=823

European firms hit by potent new virus
http://www.vnunet.com/News/1116313

Anger at «overblown» virus warning
http://www.vnunet.com/News/1116330

LittleDavinia Worm Discovered in Europe
http://www.ntsecurity.net/Articles/Index.cfm?ArticleID=16569

VBS_DAVINIA.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_DAVINIA.A

VBS.Davinia
http://service1.symantec.com/sarc/sarc.nsf/html/VBS.Davinia.html

VBS/Davinia@MM
http://vil.nai.com/vil/dispvirus.asp?virus_k=98964

VBS/Davinia-A
http://www.sophos.com/virusinfo/analyses/vbsdaviniaa.html

What¡s So Special About «Davinia»?
http://www.avp.ru/news.asp?tnews=0&nview=4&id=150&page=0

Office 2000 UA Control Vulnerability
http://www.microsoft.com/technet/security/bulletin/ms00-034.asp

No reports of Davinia worm
http://www.sophos.com/virusinfo/articles/davinia.html

Little Davinia virus not widespread
http://www.f-secure.com/v-descs/ldavinia.shtml

Panda punished over virus warning fiasco
http://www.vnunet.com/News/1116640

Bernardo Quintero
bernardo@hispasec.com
http://www.hispasec.com

Autor

  • JAE
    Jose Escribano

    Responsable de Contenidos en Informativos.Net

    Ver todas las entradas
anterior
CLINTON LOGRA UN ACUERDO CON EL FISCAL GENERAL ANTES DE RETIRARSE DEL PODER
siguiente
FERROVIAL ELIGE HITACHI DATA SYSTEMS

También te puede interesar

DragonForce, el cártel de ransomware que está rediseñando...

8 de mayo de 2025

La decadencia digital: cuando internet pierde la memoria

18 de febrero de 2025

Microsoft lanza Copilot en WhatsApp para asistencia con...

2 de octubre de 2024

Los 15 trabajos más expuestos a la automatización...

24 de marzo de 2024

LAS PANTALLAS DE LOS COCHES VAN A DESAPARECER

21 de enero de 2023

Entrevista a Esther Paniagua: «Error 404» es una...

22 de octubre de 2021

Visión artificial para contar aglomeraciones de personas

27 de febrero de 2018

YONDER: la app de karaoke para que muestres...

25 de marzo de 2017

Abierto el plazo de solicitudes participar en el...

29 de agosto de 2016

COLABORA CON NUESTRA FUNDACIÓN

https://t.me/informativosnet

Nos cuidan…


  • Facebook
  • Twitter
  • Instagram
  • Linkedin
  • Youtube
  • Email
  • Spotify
  • Whatsapp
  • Telegram
  • Rss

© 1999-2025 • Fundación Informativos.Net


Ir arriba
Informativos.Net
  • Inicio
  • Life Style Magazine
  • Editorial
  • Secciones
    • Actualidad
    • Cultura
    • Entrevistas
    • Fake News
    • Gastronomia-Vinos
    • LifeStyle & Destinos
    • Medio Ambiente y Renovables
    • Seguridad, Autoprotección y emergencias
    • Salud
  • Archivo
    • Otros Paises
    • Panorama Mundial
    • Música
    • Noticias Curiosas
    • Cine
    • Empresas
    • Motor
    • Opinión del Lector
    • Chile
    • Catalunya
    • Publi-Reportajes
    • Tecnología
    • Vela
  • Políticas IA
  • Autores
    • Gema Castellano
    • Jose Escribano
    • Abel Marín
    • Christian Correa
    • Gustavo Egusquiza
    • Jesús Belenguer
    • Jose Anastasio Urra Urbieta
    • Pablo Arce
  • Sobre Gema Castellano