18 stycznia 2001

Davinia - niebezpieczny robak wykorzystujący nietypowy mechanizm infekowania.

"Davinia" rozprzestrzenia się poprzez pocztę elektroniczną przy użyciu popularnego programu MS Outlook. Robak wykorzystuje skomplikowany mechanizm instalowania się w atakowanym systemie. Do ofiary dostarczana jest wiadomość e-mail zawierająca skrypt. Skrypt ten, podczas czytania wiadomości, automatycznie otwiera dodatkowe okno Internet Explorer'a i inicjalizuje połączenie ze stroną WWW. Sam szkodnik wyposażony jest w dodatkowy skrypt, który otwiera dokument Word'a (pobrany z tej samej strony WWW) zawierający makro, które niezauważalnie dla użytkownika wyłącza wbudowaną ochronę antywirusową programu MS Word. Zatem, użytkownik nie zostanie poinformowany o istnieniu makr w otwieranym przez wirusa dokumencie. Aby wyłączyć ochronę antywirusową, robak wykorzystuje lukę w zabezpieczeniach pakietu MS Office 2000, odkrytą w maju 2000 i nazwaną "Office 2000 UA Control Vulnerability".

Następnie, szkodnik uzyskuje dostęp do programu MS Outlook, pobiera adresy użytkowników zapisanych w książce adresowej i wysyła pod nie wiadomość, zawierającą odnośnik do znanej już strony WWW. Zatem właściwy kod robaka znajduje się tylko na serwerze, na którym umieszczona jest strona zawierająca zainfekowany dokument.

"Davinia" zawiera bardzo niebezpieczną funkcję: nadpisuje wszystkie pliki znajdujące się na lokalnych dyskach programem wyświetlającym okno dialogowe.

Fachowcy z firmy Kaspersky Lab twierdzą jednak, że robak ten nie stanowi poważnego zagrożenia, ponieważ zaraz po wykryciu go strona WWW zawierająca źródło infekcji została zlikwidowana. Należy jednak wiedzieć, że mogą się pojawić (i z pewnością pojawią się) inne wirusy korzystające z podobnego mechanizmu infekowania komputerów. Dlatego też, użytkownicy pakietu MS Office powinni jak najszybciej zainstalować "łatę", która uniemożliwia niewidoczne instalowanie się w systemie wirusów takich jak "Davinia". Uaktualnienie można pobrać ze strony WWW firmy Microsoft. http://www.microsoft.com/technet/security/bulletin/ms00-034.asp