En la última semana se han sucedido las noticias alrededor de
LittleDavinia, en unos casos destacando la peligrosidad y novedad de
este gusano capaz de infectar los sistemas con tan sólo visualizar una
página web, mientras que en otras noticias la atención se centraba en
las declaraciones de algunos desarrolladores antivirus donde se
restaba importancia al espécimen.
Desde Hispasec hemos optado por dejar al margen las rencillas de las
casas antivirus y centrarnos en el análisis de LittleDavinia, labor
algo descuidada por algunos antivirus a juzgar por sus descripciones.
Invitamos a que los lectores juzguen por si mismos el peligro
potencial que representa este tipo de gusanos, así como a realizar
cualquier otro comentario o consulta sobre este particular, a través
de la página http://www.hispasec.com/unaaldiacom.asp?id=818
Descripción
LittleDavinia está compuesto por tres módulos, una página web, un
documento de Microsoft Word 2000, y un tercer fichero escrito en
Visual Basic Script.
La página web es la encargada de descargar y abrir el documento de
Word (LD.DOC) desde un servidor de Internet. Al abrirse el documento,
sus macros se encargan de distribuir el virus a través del correo
electrónico y generar un fichero en Visual Basic Script
(LITTLEDAVINIA.VBS). Este último se ejecutará en el próximo inicio
de sistema, mostrando un ventana con un mensaje y llevando a cabo su
acción más dañina, que no es otra que borrar todos los ficheros de
las unidades existentes del sistema infectado.
Módulo 1 – La página web
La página web que originó las primeras infecciones se encontraba
hospedada en Terra (http://www.terra.es/usuarios/personal2/sergill)
y fue retirada pocas horas después de ser descubierta. Cuando un
usuario visualiza la página web infectada a través de su navegador
se pone en marcha el código que contiene escrito en JavaScript. Su
misión consiste en aprovechar una vulnerabilidad conocida de Office
2000 para desactivar la protección contra macros de Word y abrir,
sin levantar sospechas, el fichero LD.DOC hospedado en el servidor
de Internet y que contiene el resto de código vírico.
Microsoft reportó la vulnerabilidad como «Office 2000 UA Control
Vulnerability» en mayo de 2000, donde reconoce que el control ActiveX
estaba firmado erroneamente como «safe for scripting», permitiendo
que se pudiera invocar de forma remota desde una página web y acceder
a las funciones de Office 2000.
Módulo 2 – El documento de word
LC.DOC se abre gracias a la página web descrita anteriormente, el
documento Word contiene un módulo macro llamado Evil que es el
encargado de llevar a cabo las distintas acciones. En primer lugar
modifica una entrada en el registro de Windows para asegurar que en
el siguiente inicio de sistema se ejecuta el fichero LITTLEDAVINIA.VBS:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\littledavinia
[directorio de sistema]\littledavinia.vbs
A continuación escribe el fichero LITTLEDAVINIA.VBS, que lleva
almacenado en el interior del módulo macro, en el directorio de
sistema de Windows (por defecto Windows/system).
La última acción consiste en crear un objeto Outlook, y recorre toda
la libreta de direcciones para ir mandando a todos los contactos un
mensaje de correo en formato HTML a través del protocolo MAPI.
Cuando un usuario recibe un email infectado, enviado sin asunto, el
contenido HTML del mensaje abre seis nuevas ventanas del navegador
apuntando a la URL donde se encontraba la página web que inicia la
infección (módulo 1). De esta forma, sin necesidad de llevar el código
del virus o gusano adjunto al mensaje de correo electrónico, consigue
iniciar el proceso de infección de nuevos sistemas a través de la
página web que se encuentra en un servidor de Internet, ésta
descargará el documento de Word, e iniciará todo el proceso descrito
hasta ahora.
En el proceso de envío de mensajes a través del correo electrónico,
LittleDavinia utiliza una entrada del registro donde almacena
diferentes valores que le permiten recorrer todas las carpetas y
contactos de la libreta de direcciones, enviando el mensaje sólo a los
contactos donde no se hubiera realizado con anterioridad. De esta
forma LittleDavinia controla no autoenviarse de forma repetida a un
mismo contacto. La entrada que utiliza en este proceso es:
HKEY_CURRENT_USER\Software\Microsoft\WAB\
Módulo 3 – El fichero Visual Basic Script
LITTLEDAVINIA.VBS se ejecuta de forma automática en el siguiente
inicio de sistema tras la infección. Lo primero que realiza son dos
escrituras en el registro de Windows, la primera para cambiar la
página de inicio de Internet Explorer:
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
http://
y la segunda que apunta a un fichero HTML con el nombre del virus:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Davinia
[directorio de sistema]\littledavinia.html
A continuación recorre el sistema en busca de todas las unidades,
incluidas las de red, y por cada fichero que encuentra crea un .HTML
con el mismo nombre y borra el original, lo que aparenta la
sobreescritura de dichos ficheros. Al finalizar el recorrido por todas
las unidades crea el fichero littledavinia.html en el directorio
sistema de Windows.
El contenido de los ficheros HTML que crea contiene código en Visual
Basic Script encargado de visualizar el siguiente cuadro de diálogo:
Onel2 – Melilla
Hola, tu nombre es [nombre de usuario infectado].
Tu email es [direccion de correo del usuario infectado].
Yo soy Onel2, y vivo en Melilla
una ciudad del norte de Africa.
Estoy enamorado de una chica llamada Davinia.
Ella es la mas guapa del mundo.
Es como una diosa.
Igual que yo me contagie de amor
de Davinia, tus archivos se van a
contagiar de amor de esta pagina
Davinia(chica) y Davinia(virus) rompen corazones y archivos.
littledavinia version 1.1 esta en camino…
[Anular] [Reintentar] [Ignorar]
El nombre de usuario infectado y su dirección de correo son recogidos
por LittleDavinia leyendo las siguientes entradas del registro de
Windows:
HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001\SMTP
Display Name
HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001\SMTP
Email Address
Firma del autor
Todos los ficheros que crea LittleDavinia: la página web que infecta
desde Internet, el documento de Word (LC.DOC), el fichero Visual Basic
Script (LITTLEDAVINIA.VBS), así como los ficheros HTML, contienen en
su inicio los siguientes comentarios:
littledavinia version 1.0 Visual Basic Macro – VBS – HTML(vbs) Worm virus
Office 2000 UA ActiveX bug
written by: Onel 2 / Melilla, España / 25 Diciembre
quiero a Davinia:
Desinfección manual
Si nos infectamos con LittleDavinia, al visualizar una página Web o
recibir un correo infectado, se descargará el documento de Word
(LC.DOC) y creará el fichero LITTLEDAVINIA.VBS en el directorio de
sistema de Windows (por defecto Windows/system).
El paso fundamental consiste en borrar la entrada de registro que
lanzaría a LITTLEDAVINIA.VBS en el siguiente inicio de sistema,
llevando a cabo su acción más dañina. Para evitarlo tendremos que
ejecutar la utilidad REGEDIT.EXE y borrar la entrada:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Davinia
[directorio de sistema]\littledavinia.html
Por último, no debemos volver a visualizar la página web que le
infectó, o borrar el mensaje de correo que lo inició, así como
localizar y borrar los ficheros LC.DOC y LITTLEDAVINIA.VBS.
Inmunizarnos contra LittleDavinia
Es fácil mantener nuestro sistema inmunizado contra LittleDatinia o
especímenes similares que aprovechen la misma vulnerabilidad. Basta
con instalar el parche que Microsoft facilita para solucionar el
problema del control ActiveX que acompaña a Office 2000, disponible
en la dirección:
http://officeupdate.microsoft.com/info/ocx.htm
bernardo@hispasec.com
Más información:
HTML/LittleDavinia
http://www.pandasoftware.es/enciclopedia/gusano/HTMLLittleDavinia_1.htm
Panda Software Warns Over Little Davinia Worm
http://www.newsbytes.com/news/01/160525.html
Little Davinia worm wipes company data
http://www.zdnet.co.uk/news/2001/2/ns-20232.html
HTML/LittleDavinia, un nuevo y peligro gusano
http://www.pandasoftware.es/vernoticia.asp?noticia=823
European firms hit by potent new virus
http://www.vnunet.com/News/1116313
Anger at «overblown» virus warning
http://www.vnunet.com/News/1116330
LittleDavinia Worm Discovered in Europe
http://www.ntsecurity.net/Articles/Index.cfm?ArticleID=16569
VBS_DAVINIA.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_DAVINIA.A
VBS.Davinia
http://service1.symantec.com/sarc/sarc.nsf/html/VBS.Davinia.html
VBS/Davinia@MM
http://vil.nai.com/vil/dispvirus.asp?virus_k=98964
VBS/Davinia-A
http://www.sophos.com/virusinfo/analyses/vbsdaviniaa.html
What´s So Special About «Davinia»?
http://www.avp.ru/news.asp?tnews=0&nview=4&id=150&page=0
Office 2000 UA Control Vulnerability
http://www.microsoft.com/technet/security/bulletin/ms00-034.asp
No reports of Davinia worm
http://www.sophos.com/virusinfo/articles/davinia.html
Little Davinia virus not widespread
http://www.f-secure.com/v-descs/ldavinia.shtml
Panda punished over virus warning fiasco
http://www.vnunet.com/News/1116640
Deja una respuesta