Wirus komputerowy ILOVEYOU w ciągu jednego dnia rozprzestrzenił się po całym świecie, infekując 10% komputerów mających dostęp do Internetu i powodując straty w wysokości 5,5 mld dolarów
ILOVEYOU, znany także jako VBS/Loveletter oraz Love Bug jest wirusem komputerowym napisanym w języku VBScript.
Opis
Wirus dotarł do skrzynek e-mailowych 4 maja 2000, w listach z tematem "ILOVEYOU" i załącznikiem "LOVE-LETTER-FOR-YOU.TXT.vbs". W trakcie otwierania załącznika, wirus wysyłał swoje kopie do każdego z książki adresowej ofiary podszywając się pod nią. Poza tym dokonywał wielu groźnych zmian w systemie użytkownika.
Taki mechanizm rozprzestrzeniania (raczej w komputerach typu mainframe firmy IBM niż w środowisku MS Windows) był dobrze znany i użyty już w Choinkowym Exeku z 1987 roku, który to wirus unieruchomił wiele maszyn na całym świecie.
Dwa elementy uczyniły wirusa tak niebezpiecznym:
- Wykorzystywał prostą inżynierię społeczną, aby skłonić użytkowników do otwarcia załączników.
- Wykorzystywał niedoskonałość programów e-mail, które pozwalały na uruchamianie plików odbieranych w załącznikach przez proste kliknięcie. Wykorzystany mechanizm — VBScript — nie był wcześniej wykorzystywany na taką skalę, żeby zwrócić uwagę na swój potencjał, więc odpowiednie warstwy zabezpieczeń nie były jeszcze stworzone.
Epidemia
Wirus błyskawiczne rozprzestrzenił się na zachód dzięki temu, że pracownicy, przychodząc do biur, odbierali pocztę wysyłaną przez ludzi ze wschodu. Ponieważ wirus wykorzystywał listy adresowe swoich ofiar, adresaci wiadomości, które przyszły z zaufanych źródeł, często nie obawiali się zagrożenia. Wirus wysłany do kilku osób wysyłał od każdej zainfekowanej ofiary kolejnych kilka, co powodowało w krótkim czasie przeciążenie serwerów e-mail.
Skutki
Wirus rozpoczął swój żywot 4 maja 2000, i rozprzestrzenił się na cały świat w ciągu jednego dnia zarażając 10 procent wszystkich komputerów mających dostęp do Internetu i powodując straty w wysokości 5.5 miliardów dolarów
Większość "strat" było kosztem pozbycia się robaka z poszczególnych systemów. Pentagon, CIA i Parlament Brytyjski musieli wyłączyć serwery e-mail żeby pozbyć się robaka, co uczyniło również większość wielkich korporacji.
Wirus nadpisywał pliki ważne, ale również muzyczne, graficzne, multimedialne i inne, swoją kopią, którą również wysyłał do wszystkich z listy kontaktów użytkownika. Był on niebezpieczny wyłącznie dla komputerów działających pod kontrolą systemu operacyjnego firmy Microsoft - list z wirusem można było odebrać używając dowolnego, umożliwiającego obsługę poczty elektronicznej systemu, ale wyłącznie system Windows był podatny na infekcję.
Wykrycie
Narinnat Suksawat, 25-letni tajski informatyk, jako pierwszy na świecie napisał program naprawiający zniszczenia powodowane przez robaka i opublikował go 5 maja 2000 roku, 24 godziny po pierwszych infekcjach. Usuwał on pliki wirusa i odzyskiwał skasowane przez niego pliki systemowe. Dwa miesiące później Narinnat został zatrudniony w firmie Sun Microsystems, w której przepracował dwa lata. Odszedł, aby otworzyć własny interes. Dziś jest właścicielem firmy programistycznej Moscii Systems w Tajlandii.
Brytyjska firma MessageLabs zyskała sławę, gdy okazało się, że ich oprogramowanie antywirusowe, Skeptic, rozpoznawało załącznik jako niebezpieczny, chroniąc wszystkich jej klientów. Ta mało znana firma zyskała popularność dzięki mediom, występując w telewizji BBC i brytyjskiej prasie.
Pierwsza wykryta przez nich kopia wirusa, została zatrzymana o godzinie 00:43:26 czasu centralnego 4 maja 2000 roku i pochodziła z adresu e-mail na Filipinach, a była wysłana na adres brytyjski. Jest prawdopodobne, że e-mail pochodził z jednej z pierwszych gałęzi drzewa replikacji wirusa.
Budowa wirusa
Wirus został napisany w Microsoft Visual Basic Scripting (VBS) i wymaga, aby maszyna ofiary była w stanie wykonywać skrypty napisane w tym języku. Modyfikuje on rejestr systemu Windows w taki sposób, aby wirus był uruchamiany przy każdym jego uruchomieniu.
Poza tym wirus przeszukuje wszystkie napędy podłączone do zarażonego komputera i zastępuje pliki z rozszerzeniami *.JPG, *.JPEG, *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.DOC *.HTA swoimi kopiami, dodając na końcu nazwy każdego z nich rozszerzenie .VBS, Natomiast plikom z rozszerzeniami *.MP2 i *.MP3 nadaje atrybut "ukryty" i również kopiuje się do plików o takich nazwach, lecz z dodanym rozszerzeniem .VBS.
Wirus rozprzestrzenia się, wysyłając kopie siebie do wszystkich adresów z listy programu Microsoft Outlook. Ma również dodatkowy składnik, który pobiera i wykonuje program nazwany "WIN-BUGSFIX.EXE" lub "Microsoftv25.exe", który ma wykradać hasła przechowywane w pamięci podręcznej systemu i wysyłać je e-mailem.
Warianty
- Załącznik: LOVE-LETTER-FOR-YOU.TXT.vbs
Temat: I LOVEYOU
Treść wiadomości: kindly check the attached LOVE LETTER coming from me. - Załącznik: Very Funny.vbs
Temat: fwd: Joke
Treść wiadomości: pusta - Załącznik: mothers day.vbs
Temat: Mothers Day Order Confirmation
Treść wiadomości: We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! [email protected] - Załącznik: virus_warning.jpg.vbs
Temat: Dangerous Virus Warning
Treść wiadomości: There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it. - Załącznik: protect.vbs
Temat: Virus ALERT!!!
Treść wiadomości: a long message regarding VBS.love letter.A - Załącznik: Important.TXT.vbs
Temat: Important! Read carefully!!
Treść wiadomości: Check the attached IMPORTANT coming from me! - Załącznik: Virus-Protection-Instructions.vbs
Temat: How to protect yourself from the IL0VEYOU bug!
Treść wiadomości: Here's the easy way to fix the love virus. - Załącznik: Kill EmAll.TXT.VBS
Temat: I Cant Believe This!!!
Treść wiadomości: I Cant Believe I have Just received This Hate Email .. Take A Look! - Załącznik: Arabian.TXT.vbs
Temat: Thank You For Flying With Arab Airlines
Treść wiadomości: Please check if the bill is correct, by opening the attached file - Załącznik: IMPORTANT.TXT.vbs
Temat: Variant Test
Treść wiadomości: This is a variant to the vbs virus. - Załącznik: Vir-Killer.vbs
Temat: Yeah, Yeah another time to DEATH...
Treść wiadomości: This is the Killer for VBS.LOVE-LETTER.WORM. - Załącznik: LOOK.vbs
Temat: LOOK!
Treść wiadomości: hehe...check this out. - Załącznik: BEWERBUNG.TXT.vbs
Temat: Bewerbung Kreolina
Treść wiadomości: Sehr geehrte Damien und Herr en! - Temat: Is this you in this picture?
Treść wiadomości: Is this you in this picture?
Powiązane wydarzenia
Źródła: wikipedia.org