Вирус i love you википедия

ILOVEYOU
LoveLetter
Полное название (Касперский)Email-Worm.VBS.LoveLetter
Email-Worm.Win32.LoveLetter
Типпочтовый червь
Год появления2000
Используемое ПОMS Outlook
Описание Symantec
Описание Securelist

ILOVEYOU, также известный как LoveLetter — компьютерный вирус, который успешно атаковал миллионы компьютеров под управлением Windows в 2000 году.

Вирус был разослан на почтовые ящики с Филиппин в ночь с 4 мая на 5 мая 2000 года; в теме письма содержалась строка «ILoveYou», а к письму был приложен скрипт «LOVE-LETTER-FOR-YOU.TXT.vbs». В большинстве случаев пользователь открывал вложение. При открытии вирус рассылал копию самого себя всем контактам в адресной книге Microsoft Outlook. Он также перезаписывал файлы определённых типов и распространялся через IRC-каналы, создавая файл LOVE-LETTER-FOR-YOU.HTM в системном каталоге Windows. В общей сложности, вирус поразил более 3 миллионов компьютеров по всему миру. Предполагаемый ущерб, который червь нанёс мировой экономике, оценивается в размере до 10 миллиардов долларов, за что вошёл в Книгу рекордов Гиннесса, как самый разрушительный компьютерный вирус в мире.

Содержание

Распространение вируса [ править | править код ]

Быстрому распространению вируса послужили следующие его черты:

  • Пользователи, открывавшие файл, тем самым передавали программу дальше, то есть механизм передачи был основан на методах социальной инженерии.
  • Расширение файла в системах Windows по умолчанию было скрыто. Таким образом, файл с двойным расширением .txt.vbs пользователями воспринимался как безопасный текстовый файл, а системой интерпретировался как скрипт на языке VBScript.
  • Обработка скриптов также была включена по умолчанию. На то время ещё не существовало программ, активно использующих скриптовые языки, поэтому была допущена столь серьёзная уязвимость.
  • Открытие приложенного к письму файла вызывало немедленное исполнение программы, и вирус получал непосредственный доступ к системе и системному реестру.

Культурное влияние [ править | править код ]

29 апреля 2011 года на американском кинофестивале в Ньюпорт-Бич состоялся премьерный показ фильма «I love you», посвящённого вирусу [1] .

I love you — вирус, вошедший в Книгу рекордов Гинесса со статусом самого разрушительного вредоносного программного кода в мире.

Эпидемия

4 мая 2000 года в сеть был выпущен новый вирус, быстро заполонивший более 3 млн компьютеров. Скорость распространения "любовной лихорадки" била все рекорды благодаря веерной рассылке по адресным книгам пользователей.

Благодаря интригующему заголовку письма, в котором содержался вирус, большинство владельцев компьютеров не могло сдержать искушения открыть его, что и привело к подобной катастрофе.

I love you (вирус) был выпущен в Филиппинах, поэтому первой от его разрушительного действия пострадала Азия, а следом за ней — Европа и Россия. Сообщения о заражениях целых компаний поступали в огромных количествах, и уже через 3 дня количество повреждённых компьютеров оценивалось в более чем 2 млн экземпляров.

Распространение

Программный код распространялся посредством электронных сообщений через вложения в письме с заманчивым заголовком I love you.

Вирус этот родом с Филиппин, и изначально его создание приписывалось некому Реонелю Рамонесу. Однако при обыске в доме молодого человека не нашли ни одного компьютера. Затем в программном коде вируса ФСБ расшифровало "подписи" других студентов компьютерной школы в Маниле, но и в этот раз обвинения не подтвердились.

Лишь спустя несколько месяцев был найден истинный создатель — Онел де Гузман. Но. законодательство Филиппин не карало компьютерное хулиганство, поэтому все требования начать разбирательство остались без внимания на тот момент.

I love you — вирус, который сам себя копирует и рассылает после исполнения пользователем прикреплённого файла по электронным адресам, найденным в контактах жертвы.

Как действует вирус

После первого запуска "любовное послание" копирует себя в системные директории и реестр ОС, после чего сканирует компьютер в поисках мультимедийных файлов. Найдя искомое, вирус меняет расширение данных, порой делая их невидимыми для пользователя. После этого I love you начинает веерную рассылку по адресатам и загружает программу для кражи паролей, отсылающую информацию на е-мэйл создателя кода.

Однако так действует компьютерный вирус love letter 2000 года. С тех пор код подвергся сильным модификациям, и если ранее его действие наносило вред лишь мультимедийным файлам, то с течением времени всё изменилось. Новые версии "любовного послания" приводят к выходу компьютера из строя, удаляя и изменяя системные файлы INI и BAT, отвечающие за загрузку машины.

О мерах предосторожности

В интернете до сих пор гуляют некоторые версии вируса, однако их всё меньше, поскольку лаборатория Касперского уже давно разработала программу, способную распознать любую модификацию "любовного послания". ПО проверяет скрипт перед исполнением, и если находит в нём признаки вредоносного кода, предотвращает его запуск.

Однако уже действующий вирус I love you (создатель этой гадости — Онел де Гузман) остановить не получится — его можно лишь удалить, потеряв поражённые файлы. Чтобы избежать таких последствий (особенно это касается пользователей, не считающих нужным защищать свой ПК), лучше не скачивать никаких подозрительных вложений, даже если они пришли с письмом от друга. Стоит лишний раз уточнить у приятеля, что в них находится, и убедиться, что е-мэйл действительно был прислан человеком, а не вредоносной программой.

Судьба де Гузмана

В целом обвинение пало на Онела по его же глупости: тот ещё в свою бытность студентом пытался представить в качестве дипломной работы вирус, ворующий пароли пользователей и отсылающий их по электронной почте другим людям. Молодой человек считал, что это пойдёт на пользу юзерам и сократит их расходы в Сети.

Преподавательский состав, конечно, такой шаг не одобрил, но и де Гузман не бросил разработку программы. Как было сказано ранее, повесить на бывшего студента обвинение не удалось — в его пользу играло несовершенное законодательство Филиппин и отсутствие улик. Сам молодой человек отвечал на вопросы о вирусе очень неоднозначно. По его показаниям выходило, что скрипт был написан не им, но именно он выпустил программу в мир.

Однако в 2010 году появилась другая версия. Согласно ей, I love you — вирус, написанный однокурсником де Гузмана. Тот был влюблён в девушку Онела, и чтобы отомстить, создал вредоносный скрипт, включив в него разработку студента. После чего взломал почтовый ящик его возлюбленной и с него отправил Онелу письмо с вирусом. Таким образом, выходит, что вина де Гузмана может считаться лишь косвенной, т. к. он стал распространителем эпидемии в качестве жертвы, а не создателя.

ILOVEYOU
Common nameILOVEYOU
AliasesLove Bug, Love Letter
TypeComputer worm
Point of originPhilippines
Author(s)Reonel Ramones, Onel de Guzman
Operating system(s) affectedWindows 9x, Windows 2000
Written inVBScript

ILOVEYOU, sometimes referred to as Love Bug or Love Letter, is a computer worm that attacked tens of millions of Windows personal computers on and after 5 May 2000 [1] local time in the Philippines when it started spreading as an email message with the subject line "ILOVEYOU" and the attachment "LOVE-LETTER-FOR-YOU.txt.vbs". The latter file extension (‘vbs’, a type of interpreted file) was most often hidden by default on Windows computers of the time (as it is an extension for a file type that is known by Windows), leading unwitting users to think it was a normal text file. Opening the attachment activates the Visual Basic script. The worm inflicts damage on the local machine, overwriting random types of files (including Office files, image files, and audio files; however after overwriting MP3 files the virus hides the file), and sends a copy of itself to all addresses in the Windows Address Book used by Microsoft Outlook. This made it spread much faster than any other previous email worm.

Contents

Key to success [ edit ]

On the machine system level, ILOVEYOU relied on the scripting engine system setting (which runs scripting language files such as .vbs files) being enabled, and took advantage of a feature in Windows that h >[2] Systemic weaknesses in the design of Microsoft Outlook and Microsoft Windows were exploited that allowed malicious code capable of complete access to the operating system, secondary storage, and system and user data simply by unwitting users clicking on an icon.

Spread [ edit ]

Messages generated in the Philippines began to spread westwards through corporate email systems. Because the worm used mailing lists as its source of targets, the messages often appeared to come from acquaintances and were therefore often regarded as "safe" by their victims, providing further incentive to open them. Only a few users at each site had to access the attachment to generate millions more messages that crippled mail systems and overwrote millions of files on computers in each successive network.

Impact [ edit ]

The worm originated in the Pandacan neighborhood of Manila in the Philippines on May 5, 2000, thereafter following daybreak westward across the world as employees began their workday that Fr >[3] [4] The outbreak was later estimated to have caused US$5.5–8.7 billion in damages worldw >[5] [6] [ better source needed ] and estimated to cost US$15 billion to remove the worm. [7] Within ten days, over fifty million infections had been reported, [8] and it is estimated that 10% of internet-connected computers in the world had been affected. [6] [ better source needed ] Damage cited was mostly the time and effort spent getting r >[9] The ILOVEYOU worm infected computers all over the world. At the time it was one of the world’s most destructive computer related disasters ever.

The events inspired the song "E-mail" on the Pet Shop Boys’ UK top-ten album of 2002, Release, the lyrics of which play thematically on the human desires which enabled the mass destruction of this computer infection.

Architecture [ edit ]

The ILOVEYOU Script (the attachment) was written in Microsoft Visual Basic Scripting (VBS) which runs in Microsoft Outlook and was enabled by default. The script adds Windows Registry data for automatic startup on system boot.

The worm searches connected drives and replaces files with extensions JPG, JPEG, VBS, VBE, JS, JSE, CSS, WSH, SCT, DOC, HTA, MP2, and MP3 with copies of itself, while appending the additional file extension VBS, making the user’s computer unbootable. However, MP3s and other sound related files would be hidden rather than overwritten.

The worm propagates itself by sending out one copy of the payload to each entry in the Microsoft Outlook address book (Windows Address Book). It also downloads the Barok trojan renamed for the occasion as "WIN-BUGSFIX.EXE".

The fact that the worm was written in VBS prov >[10] Most of the variations had to do with what file extensions were affected by the worm. Others simply modified the email subject in order to make it targeted towards a specific audience, like variant "Cartolina" in Italian, or variant "BabyPic" for adults. Some others only modified the credits to the author, which were originally included in the standard version of the virus, removing them completely or referencing false authors. [10]

Some mail messages sent by ILOVEYOU:

Developments [ edit ]

On 5 May 2000, two young Filipino programmers named Reonel Ramones and Onel de Guzman became targets of a criminal investigation by agents of the Philippines’ National Bureau of Investigation (NBI). [12] Local Internet service provider Sky Internet had reported receiving numerous contacts from European computer users alleging that malware (in the form of the "ILOVEYOU" worm) had been sent via the ISP’s servers.

After surveillance and investigation by Darwin Bawasanta of Sky Internet, the NBI traced a frequently appearing telephone number to Ramones’ apartment in Manila. His residence was searched and Ramones was arrested and placed under investigation by the Department of Justice (DOJ). Onel de Guzman was also charged in absentia.

At that point, the NBI were unsure what felony or crime would apply. [12] It was suggested they be charged with violating Republic Act 8484 (the Access Device Regulation Act), a law designed mainly to penalise credit card fraud, since both used pre-pa >[13]

To show intent, the NBI investigated AMA Computer College, where de Guzman had dropped out at the very end of his final year. [12] They found that, for his undergraduate thesis, de Guzman had proposed the implementation of a trojan to steal Internet login passwords. [14] This way, he proposed, users would finally be able to afford an Internet connection. The proposal was rejected by the College of Computer Studies board, [13] prompting de Guzman to cancel his studies the day before graduation.

Legislative aftermath [ edit ]

Since there were no laws in the Philippines against writing malware at the time, both Ramones and de Guzman were released with all charges dropped by state prosecutors. [15] To address this legislative deficiency, [12] the Philippine Congress enacted Republic Act No. 8792, [16] otherwise known as the E-Commerce Law, in July 2000, just two months after the worm outbreak. As of 2012, the ILOVEYOU virus was regarded as the tenth-most virulent computer virus. [2]

Оцените статью
Добавить комментарий