• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Análisis del gusano "LittleDavinia"

Análisis del gusano "LittleDavinia"

20 enero, 2001 Por Hispasec Deja un comentario

En la última semana se han sucedido las noticias alrededor de
LittleDavinia, en unos casos destacando la peligrosidad y novedad de
este gusano capaz de infectar los sistemas con tan sólo visualizar una
página web, mientras que en otras noticias la atención se centraba en
las declaraciones de algunos desarrolladores antivirus donde se
restaba importancia al espécimen.
Desde Hispasec hemos optado por dejar al margen las rencillas de las
casas antivirus y centrarnos en el análisis de LittleDavinia, labor
algo descuidada por algunos antivirus a juzgar por sus descripciones.
Invitamos a que los lectores juzguen por si mismos el peligro
potencial que representa este tipo de gusanos, así como a realizar
cualquier otro comentario o consulta sobre este particular, a través
de la página http://www.hispasec.com/unaaldiacom.asp?id=818
Descripción

LittleDavinia está compuesto por tres módulos, una página web, un
documento de Microsoft Word 2000, y un tercer fichero escrito en
Visual Basic Script.

La página web es la encargada de descargar y abrir el documento de
Word (LD.DOC) desde un servidor de Internet. Al abrirse el documento,
sus macros se encargan de distribuir el virus a través del correo
electrónico y generar un fichero en Visual Basic Script
(LITTLEDAVINIA.VBS). Este último se ejecutará en el próximo inicio
de sistema, mostrando un ventana con un mensaje y llevando a cabo su
acción más dañina, que no es otra que borrar todos los ficheros de
las unidades existentes del sistema infectado.
Módulo 1 – La página web

La página web que originó las primeras infecciones se encontraba
hospedada en Terra (http://www.terra.es/usuarios/personal2/sergill)
y fue retirada pocas horas después de ser descubierta. Cuando un
usuario visualiza la página web infectada a través de su navegador
se pone en marcha el código que contiene escrito en JavaScript. Su
misión consiste en aprovechar una vulnerabilidad conocida de Office
2000 para desactivar la protección contra macros de Word y abrir,
sin levantar sospechas, el fichero LD.DOC hospedado en el servidor
de Internet y que contiene el resto de código vírico.

Microsoft reportó la vulnerabilidad como «Office 2000 UA Control
Vulnerability» en mayo de 2000, donde reconoce que el control ActiveX
estaba firmado erroneamente como «safe for scripting», permitiendo
que se pudiera invocar de forma remota desde una página web y acceder
a las funciones de Office 2000.
Módulo 2 – El documento de word

LC.DOC se abre gracias a la página web descrita anteriormente, el
documento Word contiene un módulo macro llamado Evil que es el
encargado de llevar a cabo las distintas acciones. En primer lugar
modifica una entrada en el registro de Windows para asegurar que en
el siguiente inicio de sistema se ejecuta el fichero LITTLEDAVINIA.VBS:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\littledavinia
[directorio de sistema]\littledavinia.vbs

A continuación escribe el fichero LITTLEDAVINIA.VBS, que lleva
almacenado en el interior del módulo macro, en el directorio de
sistema de Windows (por defecto Windows/system).

La última acción consiste en crear un objeto Outlook, y recorre toda
la libreta de direcciones para ir mandando a todos los contactos un
mensaje de correo en formato HTML a través del protocolo MAPI.

Cuando un usuario recibe un email infectado, enviado sin asunto, el
contenido HTML del mensaje abre seis nuevas ventanas del navegador
apuntando a la URL donde se encontraba la página web que inicia la
infección (módulo 1). De esta forma, sin necesidad de llevar el código
del virus o gusano adjunto al mensaje de correo electrónico, consigue
iniciar el proceso de infección de nuevos sistemas a través de la
página web que se encuentra en un servidor de Internet, ésta
descargará el documento de Word, e iniciará todo el proceso descrito
hasta ahora.

En el proceso de envío de mensajes a través del correo electrónico,
LittleDavinia utiliza una entrada del registro donde almacena
diferentes valores que le permiten recorrer todas las carpetas y
contactos de la libreta de direcciones, enviando el mensaje sólo a los
contactos donde no se hubiera realizado con anterioridad. De esta
forma LittleDavinia controla no autoenviarse de forma repetida a un
mismo contacto. La entrada que utiliza en este proceso es:

HKEY_CURRENT_USER\Software\Microsoft\WAB\
Módulo 3 – El fichero Visual Basic Script

LITTLEDAVINIA.VBS se ejecuta de forma automática en el siguiente
inicio de sistema tras la infección. Lo primero que realiza son dos
escrituras en el registro de Windows, la primera para cambiar la
página de inicio de Internet Explorer:

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
http://

y la segunda que apunta a un fichero HTML con el nombre del virus:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Davinia
[directorio de sistema]\littledavinia.html

A continuación recorre el sistema en busca de todas las unidades,
incluidas las de red, y por cada fichero que encuentra crea un .HTML
con el mismo nombre y borra el original, lo que aparenta la
sobreescritura de dichos ficheros. Al finalizar el recorrido por todas
las unidades crea el fichero littledavinia.html en el directorio
sistema de Windows.

El contenido de los ficheros HTML que crea contiene código en Visual
Basic Script encargado de visualizar el siguiente cuadro de diálogo:

Onel2 – Melilla
Hola, tu nombre es [nombre de usuario infectado].
Tu email es [direccion de correo del usuario infectado].
Yo soy Onel2, y vivo en Melilla
una ciudad del norte de Africa.
Estoy enamorado de una chica llamada Davinia.
Ella es la mas guapa del mundo.
Es como una diosa.
Igual que yo me contagie de amor
de Davinia, tus archivos se van a
contagiar de amor de esta pagina
Davinia(chica) y Davinia(virus) rompen corazones y archivos.
littledavinia version 1.1 esta en camino…

[Anular] [Reintentar] [Ignorar]

El nombre de usuario infectado y su dirección de correo son recogidos
por LittleDavinia leyendo las siguientes entradas del registro de
Windows:

HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001\SMTP
Display Name

HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001\SMTP
Email Address
Firma del autor

Todos los ficheros que crea LittleDavinia: la página web que infecta
desde Internet, el documento de Word (LC.DOC), el fichero Visual Basic
Script (LITTLEDAVINIA.VBS), así como los ficheros HTML, contienen en
su inicio los siguientes comentarios:

littledavinia version 1.0 Visual Basic Macro – VBS – HTML(vbs) Worm virus
Office 2000 UA ActiveX bug
written by: Onel 2 / Melilla, España / 25 Diciembre
quiero a Davinia:
Desinfección manual

Si nos infectamos con LittleDavinia, al visualizar una página Web o
recibir un correo infectado, se descargará el documento de Word
(LC.DOC) y creará el fichero LITTLEDAVINIA.VBS en el directorio de
sistema de Windows (por defecto Windows/system).

El paso fundamental consiste en borrar la entrada de registro que
lanzaría a LITTLEDAVINIA.VBS en el siguiente inicio de sistema,
llevando a cabo su acción más dañina. Para evitarlo tendremos que
ejecutar la utilidad REGEDIT.EXE y borrar la entrada:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Davinia
[directorio de sistema]\littledavinia.html

Por último, no debemos volver a visualizar la página web que le
infectó, o borrar el mensaje de correo que lo inició, así como
localizar y borrar los ficheros LC.DOC y LITTLEDAVINIA.VBS.
Inmunizarnos contra LittleDavinia

Es fácil mantener nuestro sistema inmunizado contra LittleDatinia o
especímenes similares que aprovechen la misma vulnerabilidad. Basta
con instalar el parche que Microsoft facilita para solucionar el
problema del control ActiveX que acompaña a Office 2000, disponible
en la dirección:

http://officeupdate.microsoft.com/info/ocx.htm

Bernardo Quintero
bernardo@hispasec.com

Más información:

HTML/LittleDavinia
http://www.pandasoftware.es/enciclopedia/gusano/HTMLLittleDavinia_1.htm

Panda Software Warns Over Little Davinia Worm
http://www.newsbytes.com/news/01/160525.html

Little Davinia worm wipes company data
http://www.zdnet.co.uk/news/2001/2/ns-20232.html

HTML/LittleDavinia, un nuevo y peligro gusano
http://www.pandasoftware.es/vernoticia.asp?noticia=823

European firms hit by potent new virus
http://www.vnunet.com/News/1116313

Anger at «overblown» virus warning
http://www.vnunet.com/News/1116330

LittleDavinia Worm Discovered in Europe
http://www.ntsecurity.net/Articles/Index.cfm?ArticleID=16569

VBS_DAVINIA.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_DAVINIA.A

VBS.Davinia
http://service1.symantec.com/sarc/sarc.nsf/html/VBS.Davinia.html

VBS/Davinia@MM
http://vil.nai.com/vil/dispvirus.asp?virus_k=98964

VBS/Davinia-A
http://www.sophos.com/virusinfo/analyses/vbsdaviniaa.html

What´s So Special About «Davinia»?
http://www.avp.ru/news.asp?tnews=0&nview=4&id=150&page=0

Office 2000 UA Control Vulnerability
http://www.microsoft.com/technet/security/bulletin/ms00-034.asp

No reports of Davinia worm
http://www.sophos.com/virusinfo/articles/davinia.html

Little Davinia virus not widespread
http://www.f-secure.com/v-descs/ldavinia.shtml

Panda punished over virus warning fiasco
http://www.vnunet.com/News/1116640

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Tamagotchi para hackers: Flipper Zero
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR