Características: El HTML/LittleDavinia, sólo
afecta a aquellos que tengan instalado en su PC,
el Word 2000.
Se trata de una mezcla de gusano de HTML, Visual Basic Script, correo y macro, programado
en España por quien firma como Onel2, supuestamente en referencia al autor del
Loveletter, el filipino Onel de Guzmán.
El virus puede propagarse en un mensaje de correo con las siguientes características:Asunto: [vacío]
Texto: [contiene el código HTML del virus]
Cuando el visitante se conecta a la página infectada, se abren en su PC varias sesiones
del explorador, todas con el mismo contenido.
Mientras esto ocurre, el virus descargará en la computadora del visitante de esa página,
un documento de Word llamado LD.DOC.
Este documento contiene macros que sólo funcionan en Word 2000. Por otra parte, el propio
gusano se encarga de abrirlo sin mostrar ningún tipo de aviso que advierta a los usuarios
de la presencia de macros en el mismo.
El código de la macro de este documento, se encarga de crear el archivo LITTLEDAVINIA.VBS
en el directorio C:\WINDOWS\SYSTEM.
Una vez creado este archivo, el gusano envía un mensaje de correo electrónico a todos
las contactos de la libreta de direcciones. El cuerpo de este mensaje contiene el código
HTML encargado de conectarse a cualquiera página Web que contenga el virus.
Finalmente, el virus revisará todos los directorios de todos los discos duros del sistema
infectado, y los sobrescribirá con el código HTML que había generado anteriormente. De
este modo se perderá toda la información del equipo afectado, no siendo posible su
recuperación.
Como vimos, este gusano utiliza el correo electrónico para extender su infección a otros
equipos. Los mensajes enviados carecen de "Asunto" y contienen código HTML en
el cuerpo del mensaje. Este código es el encargado de establecer la conexión con alguna
página Web, donde está ubicado el gusano.
Una vez que el sistema ha sido afectado por este gusano, se puede observar la creación de
un archivo llamado LITTLEDAVINIA.VBS en el directorio C:\WINDOWS\SYSTEM.
Por otra parte, al reiniciarse el equipo afectado, el archivo LITTLEDAVINIA.VBS se
ejecutará de manera automática. Este archivo obtiene el nombre del usuario y su
dirección de correo del registro de configuración de Windows.
Una vez que ha conseguido estos datos, el gusano genera un texto en HTML capaz de mostrar
una y otra vez una ventana con el siguiente mensaje:
VBSScript: Onel2 - Melilla
Hola, tu nombre es Joe.
Tu email es joe@hotmail.com
Yo soy Onel2, y vivo en Melilla
una ciudad del norte de Africa.
Estoy enamorado de una chica llamada Davinia.
Ella es la más guapa del mundo.
Es como una diosa.
Igual que yo me contagie de amor
de Davinia, tus archivos se van a
contagiar de amor de esta página
Davinia(chica) y Davinia(virus) rompen corazones y archivos.
littledavinia version 1.1 esta en camino...
[ Anular ] [ Reintentar ] [ Ignorar ]
Tras la creación de este código, el virus revisa todos los directorios de todos los
discos duros, y además todas las unidades de red a las que el equipo infectado tenga
acceso, procediendo luego a sobrescribir todos los archivos encontrados allí, con el
código HTML que acaba de crear. En
consecuencia se perderán todos los archivos del sistema afectado, siendo imposible su
recuperación.
Además, se produce también este cambio en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
littledavinia = C:\WINDOWS\SYSTEM\LITTLEDAVINIA.VBS
De este modo el gusano será ejecutado en el próximo reinicio de Windows. Este archivo
será el encargado de enviar los mensajes de correo mencionados antes.
Una vez enviados estos mensajes el virus modifica esta entrada del registro:
HKCU\Software\Microsoft\WAB
El virus comprobará esta entrada antes de enviarse, cosa que hará solo si dicha entrada
se encuentra vacía (si no tiene un valor asignado). Cuando ya se haya enviado por correo
una vez, el virus asignará un valor a dicha entrada, impidiendo se vuelva a reenviar.
Cuando el usuario reinicia la máquina, el archivo LITTLEDAVINIA.VBS se ejecutará de modo
automático. Este archivo obtiene el nombre del usuario y su dirección de correo del
registro de las siguientes entradas del registro de Windows:
HKCU\Software\Microsoft\Internet Account Manager
\Accounts\00000001\SMTP Display Name
HKCU\Software\Microsoft\Internet Account Manager
\Accounts\00000001\SMTP Email Address
Estos son los datos que el gusano utiliza para, crear el texto en código HTML, el cuál
también será usado para sobrescribir todos los archivos que se encuentren en todas las
unidades del sistema, incluidas las de red.
El virus contiene el siguiente texto:
littledavinia version 1.0 Visual Basic Macro - VBS - HTML(vbs) Worm Virus
Office 2000 UA ActiveX bug
written by: Onel 2 / Melilla,España / 25 Diciembre
Quiero a Davinia:
Fuente: Panda Software (http://www.pandasoftware.es)
(Descripción tomada de Video Soft Antivirus - http://www.videosoft.net.uy) |
