Little Davinia: Wurm löscht Platte - sät Streit

Der neue Wurm HTM/Little Davinia verbreitet sich von Spanien aus und versucht Daten zu überschreiben. Zwischen den Antiviren-Herstellern Panda Software und Network Associates hat der Wurm außerdem einen Streit ausgelöst.

Panda Software habe vor dem Wurm gewarnt, ohne die branchenübliche Benachrichtigung an die Konkurrenz abzugeben, schimpfte Network Associates (NAI). In einer Pressemitteilung rechtfertigt sich Panda Software damit, dass man zwar bemüht sei, schnellstmöglich die Konkurrenz zu informieren. Aber in diesem Fall habe das öffentliche Interesse Vorrang gehabt.

Little Davinia sei nämlich ein besonders übler Geselle, den man sich beim Besuch von Webseiten einfangen kann. Außerdem sei der Wurm auf bislang unbekanntem Weg auf die Webseite eines populären spanischen Providers gelangt, was das sofortige Handeln rechtfertige. Der Wurm ist inzwischen von der Webseite entfernt, das Risiko einer Infektion wird von NAI als "low" eingestuft. Kaspersky Lab hält die Warnung vor dem Virus für Hysterie und sagt, er sei überhaupt nicht verbreitet.

Die Verbreitung von Little Davinia erfolgt über ein ActiveX-Control, das in dem von Panda Software beschriebenen Fall einem Provider untergeschoben wurde. Es handelt sich dabei laut Network Associates um das Office 2000 UA-Control, weshalb eine Office-2000-Installation Voraussetzung für die Infektion ist. Microsoft hat bereits Mitte vergangenen Jahres einen Patch für das fehlerhafte ActiveX-Control herausgebracht. Das ActiveX-Control ist versehentlich als "safe for scripting" eingestuft.

Mit Hilfe des Office 2000 UA-Control wird bei Little Davinia eine Word-Datei heruntergeladen, die Makros enthält. Diese Datei geht dann ohne weitere Warnung vor Makros auf. Damit wiederum erzeugt der Wurm die VBS-Datei Littledavinia.vbs. Die Registry verändert das Makro so, dass das Skript bei jedem Systemstart geladen wird.

Mittels Skript versucht Davinia in der Folge eine verheerende Schadensladung loszuwerden, die alle Dateien auf allen Laufwerken mit einer HTML-Datei überschreibt. Der Wurm verbreitet sich außerdem per E-Mail an alle Einträge des Outlook-Adressbuchs. Es genügt dann, dass der Empfänger dieser HTML-Mail das Vorschaufenster aktiviert hat. Die Betreffzeile der Mail ist leer. Im Body steckt jedoch HTML-Code, der ein zusätzliches Fenster des Internet Explorer öffnet. Dort wird sodann versucht, eine bestimmte Webseite zu erreichen, auf der das verseuchte Word-Dokument liegt - und dies Spiel geht auf dem Rechner des Mail-Empfängers von vorne los.

Der Wurm lässt sich mit den aktuellen Signaturen der Antiviren-Hersteller entfernen. Außerdem hilft der Microsoft-Patch gegen das schadhafte ActiveX-Control, einer Infektion vorzubeugen. Einen Vergleich der aktuellen Virenscanner finden Sie hier. In dem Beitrag IE-Sicherheitslücken 2000 und im Office-2000-Bugreport sind weiterführende Informationen enthalten. (uba)