SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
Nombre
de virus:
VBS/Davinia@MM
Alias
conocidos:
W97M/Davinia@MM
Riesgo
Infección: Bajo (Bajo,
Alto, Muy Alto)
Activación: Ejecución
código HTML en cuerpo de e-mail (o web)
Propagación: Envía
mail a todas las direcciones Outlook
Detección: DATS
4116
Motor
necesario: 4.0.70
Infección
actual: Inicial
(Inicial, Media, Elevada)
Tras
la primera noticia de la existencia de este virus, indicado en nuestro anterior comunicado
referente al HTML/LittleDavinia, pasamos a informar del control del mismo a partir de los
DATS 4116 disponibles en nuestra web www.satinfo.es
Aunque
insistimos en que es muy dificil su propagación, por estar condicionado a cumplir una
serie de requisitos como que el correo electrónico tenga activado el intérprete de HTML,
luego pueda acceder a la web del hacker (que en
fecha 13 de Enero fue cortada), que, suponiendo acceda a través de otra web, el ordenador
tenga instalado el Office 2000, pues el fichero LD.DOC que pretende bajar de la web, solo
es operativo bajo Word 2000, y que suponiendo lo pueda hacer, tenga tambien Windows
Scripting Host, para procesar los VBS, y ejecutar desde el registro de sistema modificado
por el LD.DOC, el LITTLEDAVINIA.VBS, reemplazando todos los ficheros de los discos duros
con el texto del mail, como sea que hemos tenido una primera incidencia por un usuario
afectado por este virus, ampliamos detalles del mismo, para minimizar su propagación y
evitar desastres.
El
virus se presenta en webs o en e-mail cuyo cuerpo es un HTML que, solo por leerlo, descarga el documento LD.DOC y lo
abre, cuyas macros crean el fichero LITTLEDAVINIA.VBS, y modifica la siguiente clave del
registro de sistema:
Tras
ello envía a todas las direcciones del Outlook el mail infectado, (si se utiliza el
Outlook), y pone una marca en el registro de sistema para que en el próximo reinicio
sobrescriba todos los ficheros de todos los discos duros, incluidos los de red, en los
cuales tenga derechos de escritura el ordenador
El
virus se basa en un fallo de seguridad del Office 2000, que Microsoft ya ha corregido, por
lo que aconsejamos bajarse el parche y utilizarlo, para evitar caer en las manos de los
hackers que lo utilicen, sea este u otro virus similar futuro.
Visitar http://support.microsoft.com/support/kb/articles/Q262/7/67.asp
Si se
recibe un e-mail anónimo, o se entra en una web en la que se visualice una nota en
castellano sobre una persona de Melilla que está enamorado de una chica llamada Davinia,
¡cuidado! , si se cumplen los requisitos antes indicados, el virus intentará
sobreescribir todos los ficheros del disco duro, perdiendo la información.
El
texto integro del indicado e-mail es el siguiente:
“Onel2
- Melilla
Hola,
tu nombre es (name).
Tu
email es (email address).
Yo
soy Onel2, y vivo en Melilla
una
ciudad del norte de Africa.
Estoy
enamorado de una chica llamada Davinia.
Ella
es la mas guapa del mundo.
Es
como una diosa.
Igual
que yo me contagie de amor
de
Davinia, tus archivos se van a
contagiar
de amor de esta pagina
Davinia(chica)
y Davinia(virus) rompen corazones y archivos.
littledavinia
version 1.1 esta en camino... “
Por
tanto, si se ha visto similar texto, NO REINICIAR DESDE DISCO DURO !!! Arrancar desde
disquete o en modo MSDOS y ver si en el directorio de sistema de Windows, se tiene el
fichero LITTLEDAVINIA.VBS, y si es así, borrarlo. Además, si se ha conectado a alguna
web en la que se ha visto que moviendo el ratón se abren varias sesiones de Internet,
vigilar también, pues este hacker ha utilizado una web española, en la que, a través de
scripts Active X, (Puede ser en un HTML incluso sin texto) ha distribuido este virus, y
aunque se ha cerrado una web, pueden abrir otra...
Ya son
varios los virus que infectan los ordenadores simplemente por entrar en una web o por leer
un e-mail, sin necesidad de ejecutar ni abrir ningún fichero anexo, y éste sólo tiene
de especial el que es de origen español, y tiene malas intenciones. Además de actualizar
el antivirus, aconsejamos parchear el agujero de seguridad del Office 2000 para evitar
éste y otros futuros virus similares.
Desde
los DATS 4116 y engine 4.0.70 ya se controla este virus, por lo que simplemente se debe
tener actualizado el antivirus con dicha versión o superior para controlarlo. Si no se
tiene y se quiere actualizar, basta con bajar de
nuestra web, www.satinfo.es, el fichero
DATS4116.ZIP (o superior) al directorio C:\DATS y proceder con AUTOUPDATE. Si se quiere
optimizar el antivirus al último engine (motor de exploración), procedan a bajar y
ejecutar el SDAT4116.EXE (o superior)
NOTA
IMPORTANTE DE ULTIMA HORA:
DETECTADA NUEVA VARIANTE DEL DAVINIA NO CONTROLADA POR DAT4116. SE ANEXA FICHERO EXTRA.DAT
QUE DEBE COPIARSE AL DIRECTORIO DEL ANTIVIRUS.
SATINFO,
VIRUSCAN SPAIN SERVICE
19-1-2001
