Visita el Blog de Virus Attack!
 Hacer página de inicio  Agregar a Favoritos  Recomendar a Amigo  Contacto  Ayuda

Usuario: 
Clave: 

  Portada
  Alertas
  Hoaxes
  Scams
  Ránking
  Parches
  Antivirus
  Sorteos
  Webmasters
  Base de datos
  Scan on line
  Herramientas
  Download
  Enviar Ejemplo
  Boletín de Noticias
  Listas de correo
  Anuario
  Noticias
  Artículos
  Entrevistas
  Documentos
  FAQ´s
  Acerca de
  Publicidad
  Links
  Sitios Afiliados
  Colaborar
  Contáctanos
  Enlázate
  Ayuda
  Menciones



¡Afiliate YA!

  .::Adictos NET::.
  Chromosoma
  CordobaHack
  El Tutorial
  Gameconquer.com
  lotienetodo
  Nicolas Davyt
  OprO Diseño Web
  Recumbents
  WebSadil

¡Afiliate YA!




BUSCAR:
 
  VIRUS
HTML/LittleDavinia
Nombre:  HTML/LittleDavinia
Aliases:  Ninguno
Variantes:  Ninguna
Fecha de Descubrimiento:  12/01/2001
Tipo:  Gusano de HTML, VBS, correo y Macro.
Gravedad:  Baja
Origen:  Desconocido
Información:  Un gusano de internet que utilizaba una vulnerabiildad en Office 2000 para reproducirse, además de enviarse por correo electrónico e infectar archivos de Word 2000.
Características:  El HTML/LittleDavinia, sólo afecta a aquellos que tengan instalado en su PC,
el Word 2000.

Se trata de una mezcla de gusano de HTML, Visual Basic Script, correo y macro, programado en España por quien firma como Onel2, supuestamente en referencia al autor del Loveletter, el filipino Onel de Guzmán.

El virus puede propagarse en un mensaje de correo con las siguientes características:

Asunto: [vacío]
Texto: [contiene el código HTML del virus]

Cuando el visitante se conecta a la página infectada, se abren en su PC varias sesiones del explorador, todas con el mismo contenido.

Mientras esto ocurre, el virus descargará en la computadora del visitante de esa página, un documento de Word llamado LD.DOC.

Este documento contiene macros que sólo funcionan en Word 2000. Por otra parte, el propio gusano se encarga de abrirlo sin mostrar ningún tipo de aviso que advierta a los usuarios de la presencia de macros en el mismo.

El código de la macro de este documento, se encarga de crear el archivo LITTLEDAVINIA.VBS en el directorio C:\WINDOWS\SYSTEM.

Una vez creado este archivo, el gusano envía un mensaje de correo electrónico a todos las contactos de la libreta de direcciones. El cuerpo de este mensaje contiene el código HTML encargado de conectarse a cualquiera página Web que contenga el virus.

Finalmente, el virus revisará todos los directorios de todos los discos duros del sistema infectado, y los sobrescribirá con el código HTML que había generado anteriormente. De este modo se perderá toda la información del equipo afectado, no siendo posible su recuperación.

Como vimos, este gusano utiliza el correo electrónico para extender su infección a otros equipos. Los mensajes enviados carecen de "Asunto" y contienen código HTML en el cuerpo del mensaje. Este código es el encargado de establecer la conexión con alguna página Web, donde está ubicado el gusano.

Una vez que el sistema ha sido afectado por este gusano, se puede observar la creación de un archivo llamado LITTLEDAVINIA.VBS en el directorio C:\WINDOWS\SYSTEM.

Por otra parte, al reiniciarse el equipo afectado, el archivo LITTLEDAVINIA.VBS se ejecutará de manera automática. Este archivo obtiene el nombre del usuario y su dirección de correo del registro de configuración de Windows.

Una vez que ha conseguido estos datos, el gusano genera un texto en HTML capaz de mostrar una y otra vez una ventana con el siguiente mensaje:

VBSScript: Onel2 - Melilla

Hola, tu nombre es Joe.
Tu email es joe@hotmail.com
Yo soy Onel2, y vivo en Melilla
una ciudad del norte de Africa.
Estoy enamorado de una chica llamada Davinia.
Ella es la más guapa del mundo.
Es como una diosa.
Igual que yo me contagie de amor
de Davinia, tus archivos se van a
contagiar de amor de esta página
Davinia(chica) y Davinia(virus) rompen corazones y archivos.
littledavinia version 1.1 esta en camino...

[ Anular ] [ Reintentar ] [ Ignorar ]

Tras la creación de este código, el virus revisa todos los directorios de todos los discos duros, y además todas las unidades de red a las que el equipo infectado tenga acceso, procediendo luego a sobrescribir todos los archivos encontrados allí, con el código HTML que acaba de crear. En
consecuencia se perderán todos los archivos del sistema afectado, siendo imposible su recuperación.

Además, se produce también este cambio en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
littledavinia = C:\WINDOWS\SYSTEM\LITTLEDAVINIA.VBS

De este modo el gusano será ejecutado en el próximo reinicio de Windows. Este archivo será el encargado de enviar los mensajes de correo mencionados antes.

Una vez enviados estos mensajes el virus modifica esta entrada del registro:

HKCU\Software\Microsoft\WAB

El virus comprobará esta entrada antes de enviarse, cosa que hará solo si dicha entrada se encuentra vacía (si no tiene un valor asignado). Cuando ya se haya enviado por correo una vez, el virus asignará un valor a dicha entrada, impidiendo se vuelva a reenviar.

Cuando el usuario reinicia la máquina, el archivo LITTLEDAVINIA.VBS se ejecutará de modo automático. Este archivo obtiene el nombre del usuario y su dirección de correo del registro de las siguientes entradas del registro de Windows:

HKCU\Software\Microsoft\Internet Account Manager
\Accounts\00000001\SMTP Display Name

HKCU\Software\Microsoft\Internet Account Manager
\Accounts\00000001\SMTP Email Address

Estos son los datos que el gusano utiliza para, crear el texto en código HTML, el cuál también será usado para sobrescribir todos los archivos que se encuentren en todas las unidades del sistema, incluidas las de red.

El virus contiene el siguiente texto:

littledavinia version 1.0 Visual Basic Macro - VBS - HTML(vbs) Worm Virus
Office 2000 UA ActiveX bug
written by: Onel 2 / Melilla,España / 25 Diciembre
Quiero a Davinia:

Fuente: Panda Software (http://www.pandasoftware.es)
(Descripción tomada de Video Soft Antivirus - http://www.videosoft.net.uy)

Para eliminarlo:  Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. Para ver una lista de las direcciones de dónde bajar estos archivos, haz click aquí.Se recomienda a los usuarios desactivar el Widows Scripting Host para evitar la acción de virus de este tipo. Encontrarán un documento explicativo en

Procedimientos de Desactivación de Archivos de VBScript

También se recomienda que se aplique el parche para solucionar la vulnerabilidad en Office 2000 UA, disponible en:

http://www.microsoft.com/technet/security/bulletin/ms00-034.asp

Agregado el:  18/01/2001
Modificado el:  //
BOLETIN DE NOTICIAS: