ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.VBS.Davinia

Clase Email-Worm
Plataforma VBS
Descripción

Detalles técnicos

Este gusano de Internet se propaga a través de mensajes de correo electrónico utilizando MS Outlook y MS Word 2000.

El gusano llega a la computadora como un mensaje de correo electrónico en formato HTML. El asunto y el cuerpo del mensaje están vacíos, pero hay un script de mensaje en español, que se ejecuta automáticamente cuando se muestra el mensaje. Abre una nueva ventana del navegador y descarga una página del sitio de Internet del gusano.

La página cargada contiene otra secuencia de comandos que abre un documento de Microsoft Word con macros colocadas en el mismo sitio. Para evitar una advertencia de protección de macrovirus, el gusano explota la vulnerabilidad "Office 2000 UA Control" y permite que la secuencia de comandos deshabilite la protección de macros virus de Microsoft 2000 sin una confirmación del usuario. (Para obtener más información acerca de la vulnerabilidad "Control de UA de Office 2000", consulte: http://www.microsoft.com/technet/security/bulletin/ms00-034.asp )

La macro en el documento de Microsoft Word se ejecuta automáticamente al abrir el documento. Obtiene acceso a Microsoft Outlook, extrae direcciones de la libreta de direcciones de Outlook y les envía mensajes de correo electrónico. Los mensajes enviados son los mismos que antes, por lo tanto, el gusano mismo (macro en el documento) siempre se coloca en la misma área, en el sitio de Internet. Los mensajes enviados contienen enlaces solo a este sitio, y en caso de que el sitio del gusano sea inaccesible, el gusano ya no se puede propagar.

El gusano tiene una rutina de carga peligrosa: después de enviar mensajes, la macro crea un archivo de directorio del sistema en Windows llamado "littledavinia.vbs" y modifica el registro del sistema para ejecutar este archivo cada vez que se inicia Windows. El script en este archivo destruye todos los datos en todos los discos: sobrescribe todos los archivos con una página HTML. Tras la activación, la página muestra el siguiente mensaje:

VBScript: Onel2 - Melilla Hola, tu nombre es [��� ������������]. Tu correo electrónico es [email-����� ������������]. Yo soy Onel2, y vivo en Melilla una ciudad del norte de África. Estoy enamorado de una chica llamada Davinia. Ella es la mas guapa del mundo. Es como una diosa. Igual que yo me contagie de amor de Davinia, tus archivos se contagiarán de amor de esta página Davinia (chica) y Davinia (virus) rompen corazones y archivos. littledavinia versión 1.1 esta en camino ... [Abortar] [Reintentar] [Ignorar]

Microsoft lanzó una actualización que elimina la vulnerabilidad "Office 2000 UA Control". Recomendamos encarecidamente que visite http://officeupdate.microsoft.com/2000/downloadDetails/Uactlsec.htm e instale esta actualización.


Enlace al original