A desenvolvedora européia de programas de segurança Panda Software está alertando os usuários de computadores para o surgimento do HTML/LittleDavinia.B, um verme de HTML, VBS, correio e macro, uma variante do LittleDavinia, descoberto em janeiro pela empresa. Segundo Magali Cantisani, gerente de marketing e produtos da Panda no Brasil, esse tipo de infecção, que alia HTML com a facilidade de se colocar arquivos na Web existente hoje, abriu uma Caixa de Pandora para o mundo dos vírus. “Outros semelhantes devem vir por aí”, prevê. Ele ainda não se encontra disseminado, mas todo cuidado é pouco. Já podem ser feitas cópias (downloads) dos arquivos de atualização dos antivírus para incluir a prevenção contra mais esta ameaça.

Características - O LittleDavinia.B está “escondido” em uma página de Internet, mais precisamente no endereço [http://www.terra.es/personal2/jackis2]. E quem for curioso, nem pensar em entrar nesse endereço porque a contaminação é certa. Ela acontece quando o usuário se conecta ao vínculo mencionado, ou a outra página que contenha o vírus, e este abre diversas conexões com esta página. Durante este procedimento, ele também descarrega automaticamente o documento LD.DOC, que irá se abrir sem mostrar nenhum tipo de advertência ao usuário sobre a presença de macros no mesmo.

Ao abrir-se, este arquivo Word executa uma macro - que funciona em Word 2000 e 97 - que gera um arquivo chamado [LITTLEDAVINIA.VBS] no diretório [Windows/System]. Por outro lado, irá vincular este arquivo a uma entrada do registro do Windows [HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Davi], conseguindo executar-se na próxima inicialização do sistema infectado. O verme sobrescreve com seu código todos os arquivos em todas as unidades do sistema, inclusive as da rede. 

Depois, o verme envia uma mensagem de correio eletrônico a todos os contatos do catálogo de endereços, sendo que o corpo dessa mensagem contém um código HTML que está programado para se conectar em seis ocasiões diferentes a uma página web que contém o vírus.

Finalmente, o vírus percorre todos os diretórios de todos os HDs do sistema infectado e sobrescreve seu código. Deste modo, toda a informação do equipamento infectado se perde, não sendo possível sua recuperação. 

Método de Propagação – O LittleDavinia.B utiliza o correio eletrônico para ampliar sua infecção a outras máquinas. As mensagens enviadas chegam sem assunto específico e o corpo da mensagem contém o código HTML que irá fazer contato com os sites onde o vírus se encontra assim que for aberta. Por isso, a Panda orienta a não abrir nenhuma mensagem sem assunto mesmo que seja de alguém conhecido.

Sintomas da Infecção – Caso o usuário tenha pego o vírus, ele sentirá os seguintes efeitos. Em primeiro lugar, o verme gera um texto em HTML como pode ser visto a seguir:

O HTML/LittleDavinia.B modifica seu próprio código de forma que, na segunda vez em que o micro for inicializado e o arquivo [littledavinia.vbs] for executado, os vírus irá buscar arquivos de qualquer extensão por todas as unidades de rede e de todos os diretórios, subscrevendo-os com seu código. Dessa forma, toda a informação armazenada no equipamento se perde.

Como detalhe curioso, a Panda avisa que o vírus tem um texto que faz referência a ele mesmo e a seu autor: 
 

Mais sobre o tema:
HTML/LittleDavinia é novo vírus de alto risco