Alias: VBS/Davinia-A, VBS/HTML/Davinia, JS/Davinia-A.
Tipo: Se trata de un gusano de tipo visual basic script.
Fecha de aparición Se detectó a mediados de enero del 2001en Europa.

El proceso de infección da comienzo cuando el usuario se conecta a alguna site que contenga a Davinia y ya en este lugar se abren varias sesiones de Internet. El virus infecta equipos con sólo conectarse a Internet, hojear una web o recibir un mail HTML infectado, propagándose por la agenda de correo de los usuarios. La página infectada contiene un código que se aprovecha de la vulnerabilidad del "Office 2000 UA Control"; ésta permite a las sites introducir macros de Word de forma silenciosa. Al mismo tiempo, se irá descargando un documento denominado LD.DOC automáticamente y se ejecutará el código de la macro que contiene. La macro genera un archivo que se almacena en el directorio de sistemas de Windows con el nombre de littledavinia.vbs., además, se asignará a este archivo a una entrada del registro de Windows, así, Davinia se ejecutará en el próximo arranque del sistema infectado.

Finalmente, Davinia recorre todos los directorios de todos los discos duros del sistema infectados, todos los archivos que se encuentren en todas las unidades del sistema y los sobreescribe con el código HTML que había generado. Así, se perderá toda la información del pc infectado de forma irremediable, ya que no será posible recuperar los datos. 

Al reiniciar Windows, todos los archivos serán reemplazados con un archivo de HTML que contiene el siguiente mensaje:

Onel2 - Melilla
Hola, tu nombre es (nombre).
Tu email es (dirección e-mail).
Yo soy Onel2, y vivo en Melilla
una ciudad del norte de Africa.
Estoy enamorado de una chica llamada Davinia.
Ella es la más guapa del mundo.
Es como una diosa.
Igual que yo me contagie de amor
de Davinia, tus archivos se van a
contagiar de amor de esta pagina
Davinia(chica) y Davinia(virus) rompen corazones y archivos.
littledavinia version 1.1 esta en camino...

El gusano envía un mensaje de correo electrónico con el asunto en blanco a todas las direcciones de la agenda con un código HTML, éste será el encargado de conectarse seis veces a alguna site que contenga el gusano para infectar el pc.

Tal y como señaló Microsoft, "el "Office 2000 UA Control" (Ouactrl.ocx) es usado por la función "mostrar" en la "ayuda" de Office y permite a las funciones de éste ser sobreescritas. Una web o autor de mail maliciosos pueden usar este sistema para llevar a cabo las funciones de Office del pc de un usuario infectado". Los productos afectados, según Microsoft, eran los siguientes: 

Microsoft Office 2000, 
Microsoft Access 2000, 
Microsoft Excel 2000, 
Microsoft FrontPage 2000, 
Microsoft Outlook 2000, 
Microsoft PowerPoint 2000, 
Microsoft Project 2000, 
Microsoft Publisher 2000, 
Microsoft Word 2000, 
Microsoft Works Suite 2000, 
Microsoft PhotoDraw 2000, versiones 1.0, 2.0.