Davinia

DAVINIA, gusano destructivo de MS Office 2000

DAVINIA/Little Davinia/Davinia@MM

Cuando Microsoft lanzó al mercado MS Office 2000 un control ActiveX llamado Office 2000 UA Control, que lo conforma, estaba marcado incorrectamente como "safe for scripting" (seguro para escritos). Este es usado por la función "Show me" de la opción de Ayuda de MS Office (Help) y permite que las funciones del propio Office sean modificadas. Un malicioso operador de sitios web podría usarlos para manipular las funciones de MS Office en el equipo de cualquier usuario que visitase ese web.

El gusano Davinia o Little Davinia, contagia al visitar un sitio web en Internet, el mismo que se encuentra infectado con este virus desarrollado en Visual Basic Script, el cual saca provecho de la vulnerabilidad del Office 2000 UA Control de MS Office 2000.

También puede propagarse por medio de mensajes de correo que contienen un archivo anexado en código HTML, el cual no contiene el código viral pero conecta al usuario al sitio web infectado, desde el cual descarga el archivo LC.DOC, el cual se abrirá en forma inmediata en MS Word 2000, y activará sus macros dañinas, realizando las siguientes acciones:

Crea un archivo LITTLEDAVINIA.VBS en la carpeta Windows\System y modifica el registro para ejecutar el archivo VBS la próxima vez que se inicie el sistema:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
littledavinia = "%System%\littledavinia.vbs"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Tomado control de la interfaz de las librerías MAPI (Messaging Application Programming Interface), envía a todos los buzones de la libreta de direcciones de MS Outlook del sistema del usuario, un mensaje de correo con el Asunto (Subject) en blanco, pero cuyo cuerpo contiene un código HTML que lo conectará a través del navegador hacia el sitio web infectado.

Al reiniciar el sistema se ejecuta el archivo LITTLEDAVINIA.VBS que activa la rutina destructiva, que sobre-escribe todos los archivos del disco duro. Los archivos del sistema infectado serán sobre escritos y será imposible su recuperación.

Este es el código con el que sobrescribirá los archivos en todas las unidades del sistema, incluidas las estaciones de trabajo conectadas a la red:

Actualización de seguridad para MS Office 2000: vulnerabilidad de UA Control:

Microsoft permite descargar gratuitamente desde el siguiente URL, un parche para la familia de MS Office 2000, el cual una vez instalado remueve todas las funciones inseguras, incluyendo "Show Me".

http://office.microsoft.com/downloads/2000/Uactlsec.aspx

Cabe mencionar que el sitio web desde el cual se descargaba el archivo con el gusano, ha sido clausurado. Sin embargo, muchos sistemas previamente infectados con Little Davinia, podrían seguir propagándolo, aunque en pequeña escala.

PER ANTIVIRUS® versión 6.7 detecta y elimina eficientemente este virus.