Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Análisis del gusano "LittleDavinia"

Análisis del gusano "LittleDavinia"

Por Deja un comentario

En la última semana se han sucedido las noticias alrededor de
LittleDavinia, en unos casos destacando la peligrosidad y novedad de
este gusano capaz de infectar los sistemas con tan sólo visualizar una
página web, mientras que en otras noticias la atención se centraba en
las declaraciones de algunos desarrolladores antivirus donde se
restaba importancia al espécimen.
Desde Hispasec hemos optado por dejar al margen las rencillas de las
casas antivirus y centrarnos en el análisis de LittleDavinia, labor
algo descuidada por algunos antivirus a juzgar por sus descripciones.
Invitamos a que los lectores juzguen por si mismos el peligro
potencial que representa este tipo de gusanos, así como a realizar
cualquier otro comentario o consulta sobre este particular, a través
de la página http://www.hispasec.com/unaaldiacom.asp?id=818
Descripción

LittleDavinia está compuesto por tres módulos, una página web, un
documento de Microsoft Word 2000, y un tercer fichero escrito en
Visual Basic Script.

La página web es la encargada de descargar y abrir el documento de
Word (LD.DOC) desde un servidor de Internet. Al abrirse el documento,
sus macros se encargan de distribuir el virus a través del correo
electrónico y generar un fichero en Visual Basic Script
(LITTLEDAVINIA.VBS). Este último se ejecutará en el próximo inicio
de sistema, mostrando un ventana con un mensaje y llevando a cabo su
acción más dañina, que no es otra que borrar todos los ficheros de
las unidades existentes del sistema infectado.
Módulo 1 – La página web

La página web que originó las primeras infecciones se encontraba
hospedada en Terra (http://www.terra.es/usuarios/personal2/sergill)
y fue retirada pocas horas después de ser descubierta. Cuando un
usuario visualiza la página web infectada a través de su navegador
se pone en marcha el código que contiene escrito en JavaScript. Su
misión consiste en aprovechar una vulnerabilidad conocida de Office
2000 para desactivar la protección contra macros de Word y abrir,
sin levantar sospechas, el fichero LD.DOC hospedado en el servidor
de Internet y que contiene el resto de código vírico.

Microsoft reportó la vulnerabilidad como “Office 2000 UA Control
Vulnerability” en mayo de 2000, donde reconoce que el control ActiveX
estaba firmado erroneamente como “safe for scripting”, permitiendo
que se pudiera invocar de forma remota desde una página web y acceder
a las funciones de Office 2000.
Módulo 2 – El documento de word

LC.DOC se abre gracias a la página web descrita anteriormente, el
documento Word contiene un módulo macro llamado Evil que es el
encargado de llevar a cabo las distintas acciones. En primer lugar
modifica una entrada en el registro de Windows para asegurar que en
el siguiente inicio de sistema se ejecuta el fichero LITTLEDAVINIA.VBS:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\littledavinia
[directorio de sistema]\littledavinia.vbs

A continuación escribe el fichero LITTLEDAVINIA.VBS, que lleva
almacenado en el interior del módulo macro, en el directorio de
sistema de Windows (por defecto Windows/system).

La última acción consiste en crear un objeto Outlook, y recorre toda
la libreta de direcciones para ir mandando a todos los contactos un
mensaje de correo en formato HTML a través del protocolo MAPI.

Cuando un usuario recibe un email infectado, enviado sin asunto, el
contenido HTML del mensaje abre seis nuevas ventanas del navegador
apuntando a la URL donde se encontraba la página web que inicia la
infección (módulo 1). De esta forma, sin necesidad de llevar el código
del virus o gusano adjunto al mensaje de correo electrónico, consigue
iniciar el proceso de infección de nuevos sistemas a través de la
página web que se encuentra en un servidor de Internet, ésta
descargará el documento de Word, e iniciará todo el proceso descrito
hasta ahora.

En el proceso de envío de mensajes a través del correo electrónico,
LittleDavinia utiliza una entrada del registro donde almacena
diferentes valores que le permiten recorrer todas las carpetas y
contactos de la libreta de direcciones, enviando el mensaje sólo a los
contactos donde no se hubiera realizado con anterioridad. De esta
forma LittleDavinia controla no autoenviarse de forma repetida a un
mismo contacto. La entrada que utiliza en este proceso es:

HKEY_CURRENT_USER\Software\Microsoft\WAB\
Módulo 3 – El fichero Visual Basic Script

LITTLEDAVINIA.VBS se ejecuta de forma automática en el siguiente
inicio de sistema tras la infección. Lo primero que realiza son dos
escrituras en el registro de Windows, la primera para cambiar la
página de inicio de Internet Explorer:

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
http://

y la segunda que apunta a un fichero HTML con el nombre del virus:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Davinia
[directorio de sistema]\littledavinia.html

A continuación recorre el sistema en busca de todas las unidades,
incluidas las de red, y por cada fichero que encuentra crea un .HTML
con el mismo nombre y borra el original, lo que aparenta la
sobreescritura de dichos ficheros. Al finalizar el recorrido por todas
las unidades crea el fichero littledavinia.html en el directorio
sistema de Windows.

El contenido de los ficheros HTML que crea contiene código en Visual
Basic Script encargado de visualizar el siguiente cuadro de diálogo:

Onel2 – Melilla
Hola, tu nombre es [nombre de usuario infectado].
Tu email es [direccion de correo del usuario infectado].
Yo soy Onel2, y vivo en Melilla
una ciudad del norte de Africa.
Estoy enamorado de una chica llamada Davinia.
Ella es la mas guapa del mundo.
Es como una diosa.
Igual que yo me contagie de amor
de Davinia, tus archivos se van a
contagiar de amor de esta pagina
Davinia(chica) y Davinia(virus) rompen corazones y archivos.
littledavinia version 1.1 esta en camino…

[Anular] [Reintentar] [Ignorar]

El nombre de usuario infectado y su dirección de correo son recogidos
por LittleDavinia leyendo las siguientes entradas del registro de
Windows:

HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001\SMTP
Display Name

HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001\SMTP
Email Address
Firma del autor

Todos los ficheros que crea LittleDavinia: la página web que infecta
desde Internet, el documento de Word (LC.DOC), el fichero Visual Basic
Script (LITTLEDAVINIA.VBS), así como los ficheros HTML, contienen en
su inicio los siguientes comentarios:

littledavinia version 1.0 Visual Basic Macro – VBS – HTML(vbs) Worm virus
Office 2000 UA ActiveX bug
written by: Onel 2 / Melilla, España / 25 Diciembre
quiero a Davinia:
Desinfección manual

Si nos infectamos con LittleDavinia, al visualizar una página Web o
recibir un correo infectado, se descargará el documento de Word
(LC.DOC) y creará el fichero LITTLEDAVINIA.VBS en el directorio de
sistema de Windows (por defecto Windows/system).

El paso fundamental consiste en borrar la entrada de registro que
lanzaría a LITTLEDAVINIA.VBS en el siguiente inicio de sistema,
llevando a cabo su acción más dañina. Para evitarlo tendremos que
ejecutar la utilidad REGEDIT.EXE y borrar la entrada:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Davinia
[directorio de sistema]\littledavinia.html

Por último, no debemos volver a visualizar la página web que le
infectó, o borrar el mensaje de correo que lo inició, así como
localizar y borrar los ficheros LC.DOC y LITTLEDAVINIA.VBS.
Inmunizarnos contra LittleDavinia

Es fácil mantener nuestro sistema inmunizado contra LittleDatinia o
especímenes similares que aprovechen la misma vulnerabilidad. Basta
con instalar el parche que Microsoft facilita para solucionar el
problema del control ActiveX que acompaña a Office 2000, disponible
en la dirección:

http://officeupdate.microsoft.com/info/ocx.htm

Bernardo Quintero
bernardo@hispasec.com

Más información:

HTML/LittleDavinia
http://www.pandasoftware.es/enciclopedia/gusano/HTMLLittleDavinia_1.htm

Panda Software Warns Over Little Davinia Worm
http://www.newsbytes.com/news/01/160525.html

Little Davinia worm wipes company data
http://www.zdnet.co.uk/news/2001/2/ns-20232.html

HTML/LittleDavinia, un nuevo y peligro gusano
http://www.pandasoftware.es/vernoticia.asp?noticia=823

European firms hit by potent new virus
http://www.vnunet.com/News/1116313

Anger at “overblown” virus warning
http://www.vnunet.com/News/1116330

LittleDavinia Worm Discovered in Europe
http://www.ntsecurity.net/Articles/Index.cfm?ArticleID=16569

VBS_DAVINIA.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_DAVINIA.A

VBS.Davinia
http://service1.symantec.com/sarc/sarc.nsf/html/VBS.Davinia.html

VBS/Davinia@MM
http://vil.nai.com/vil/dispvirus.asp?virus_k=98964

VBS/Davinia-A
http://www.sophos.com/virusinfo/analyses/vbsdaviniaa.html

What´s So Special About “Davinia”?
http://www.avp.ru/news.asp?tnews=0&nview=4&id=150&page=0

Office 2000 UA Control Vulnerability
http://www.microsoft.com/technet/security/bulletin/ms00-034.asp

No reports of Davinia worm
http://www.sophos.com/virusinfo/articles/davinia.html

Little Davinia virus not widespread
http://www.f-secure.com/v-descs/ldavinia.shtml

Panda punished over virus warning fiasco
http://www.vnunet.com/News/1116640

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.