ILOVEYOU

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacja, szukaj
ILOVEYOU
Inne nazwy VBS/Loveletter, Love Bug
Rodzaj wirus
Data izolacji maj 2000
Kraj pochodzenia Filipiny
Dotknięte systemy operacyjne Windows 9x
Język VBScript

ILOVEYOU, znany także jako VBS/Loveletter oraz Love Bug jest wirusem komputerowym napisanym w języku VBScript.

Opis[edytuj | edytuj kod]

Wirus dotarł do skrzynek e-mailowych 4 maja 2000, w listach z tematem "ILOVEYOU" i załącznikiem "LOVE-LETTER-FOR-YOU.TXT.vbs". W trakcie otwierania załącznika, wirus wysyłał swoje kopie do każdego z książki adresowej ofiary podszywając się pod nią. Poza tym dokonywał wielu groźnych zmian w systemie użytkownika.

Taki mechanizm rozprzestrzeniania (raczej w komputerach typu mainframe firmy IBM niż w środowisku MS Windows) był dobrze znany i użyty już w Choinkowym Exeku z 1987 roku, który to wirus unieruchomił wiele maszyn na całym świecie.

Dwa elementy uczyniły wirusa tak niebezpiecznym:

  • Wykorzystywał prostą inżynierię społeczną aby skłonić użytkowników do otwarcia załączników.
  • Wykorzystywał niedoskonałość programów e-mail, które pozwalały na uruchamianie plików odbieranych w załącznikach przez proste kliknięcie. Wykorzystany mechanizm — VBScript — nie był wcześniej wykorzystywany na taką skalę, żeby zwrócić uwagę na swój potencjał, więc odpowiednie warstwy zabezpieczeń nie były jeszcze stworzone.

Epidemia[edytuj | edytuj kod]

Wirus błyskawiczne rozprzestrzenił się na zachód dzięki temu, że pracownicy przychodząc do biur odbierali pocztę wysyłaną przez ludzi ze wschodu. Ponieważ wirus wykorzystywał listy adresowe swoich ofiar, adresaci wiadomości które przyszły z zaufanych źródeł często nie obawiali się zagrożenia. Wirus wysłany do kilku osób wysyłał od każdej zainfekowanej ofiary kolejnych kilka, co powodowało w krótkim czasie przeciążenie serwerów e-mail.

Skutki[edytuj | edytuj kod]

Wirus rozpoczął swój żywot 4 maja 2000, i rozprzestrzenił się na cały świat w ciągu jednego dnia zarażając 10 procent wszystkich komputerów mających dostęp do Internetu[1] i powodując straty w wysokości 5.5 miliardów dolarów[2]

Większość "strat" było kosztem pozbycia się robaka z poszczególnych systemów. Pentagon, CIA i Parlament Brytyjski musieli wyłączyć serwery e-mail żeby pozbyć się robaka, co uczyniło również większość wielkich korporacji.[3]

Wirus nadpisywał pliki ważne, ale również muzyczne, graficzne, multimedialne i inne, swoją kopią, którą również wysyłał do wszystkich z listy kontaktów użytkownika. Był on niebezpieczny wyłącznie dla komputerów działających pod kontrolą systemu operacyjnego firmy Microsoft - list z wirusem można było odebrać używając dowolnego, umożliwiającego obsługę poczty elektronicznej systemu, ale wyłącznie system Windows był podatny na infekcję.

Wykrycie[edytuj | edytuj kod]

Narinnat Suksawat, 25-letni tajski informatyk, jako pierwszy na świecie napisał program naprawiający zniszczenia powodowane przez robaka i opublikował go 5 maja 2000 roku, 24 godziny po pierwszych infekcjach. Usuwał on pliki wirusa i odzyskiwał skasowane przez niego pliki systemowe. Dwa miesiące później Narinnat został zatrudniony w firmie Sun Microsystems, w której przepracował dwa lata. Odszedł aby otworzyć własny interes. Dziś jest właścicielem firmy programistycznej Moscii Systems w Tajlandii[4].

Brytyjska firma MessageLabs zyskała sławę, gdy okazało się, że ich oprogramowanie antywirusowe, Skeptic, rozpoznawało załącznik jako niebezpieczny, chroniąc wszystkich jej klientów. Ta mało znana firma zyskała popularność dzięki mediom, występując w telewizji BBC i brytyjskiej prasie.

Pierwsza wykryta przez nich kopia wirusa, została zatrzymana o godzinie 00:43:26 czasu centralnego 4 maja 2000 roku i pochodziła z adresu e-mail na Filipinach, a była wysłana na adres brytyjski. Jest prawdopodobne, że e-mail pochodził z jednej z pierwszych gałęzi drzewa replikacji wirusa.

Budowa wirusa[edytuj | edytuj kod]

Wirus został napisany w Microsoft Visual Basic Scripting (VBS) i wymaga, aby maszyna ofiary była w stanie wykonywać skrypty napisane w tym języku. Modyfikuje on rejestr systemu Windows w taki sposób, aby wirus był uruchamiany przy każdym jego uruchomieniu.

Poza tym wirus przeszukuje wszystkie napędy podłączone do zarażonego komputera i zastępuje pliki z rozszerzeniami *.JPG, *.JPEG, *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.DOC *.HTA swoimi kopiami, dodając na końcu nazwy każdego z nich rozszerzenie .VBS, Natomiast plikom z rozszerzeniami *.MP2 i *.MP3 nadaje atrybut "ukryty" i również kopiuje się do plików o takich nazwach, lecz z dodanym rozszerzeniem .VBS.

Wirus rozprzestrzenia się wysyłając kopie siebie do wszystkich adresów z listy programu Microsoft Outlook. Ma również dodatkowy składnik, który pobiera i wykonuje program nazwany "WIN-BUGSFIX.EXE" lub "Microsoftv25.exe", który ma wykradać hasła przechowywane w pamięci podręcznej systemu i wysyłać je e-mailem.

Warianty[edytuj | edytuj kod]

  1. Załącznik: LOVE-LETTER-FOR-YOU.TXT.vbs
    Temat: I LOVEYOU
    Treść wiadomości: kindly check the attached LOVE LETTER coming from me.
  2. Załącznik: Very Funny.vbs
    Temat: fwd: Joke
    Treść wiadomości: pusta
  3. Załącznik: mothers day.vbs
    Temat: Mothers Day Order Confirmation
    Treść wiadomości: We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com
  4. Załącznik: virus_warning.jpg.vbs
    Temat: Dangerous Virus Warning
    Treść wiadomości: There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.
  5. Załącznik: protect.vbs
    Temat: Virus ALERT!!!
    Treść wiadomości: a long message regarding VBS.love letter.A
  6. Załącznik: Important.TXT.vbs
    Temat: Important! Read carefully!!
    Treść wiadomości: Check the attached IMPORTANT coming from me!
  7. Załącznik: Virus-Protection-Instructions.vbs
    Temat: How to protect yourself from the IL0VEYOU bug!
    Treść wiadomości: Here's the easy way to fix the love virus.
  8. Załącznik: Kill EmAll.TXT.VBS
    Temat: I Cant Believe This!!!
    Treść wiadomości: I Cant Believe I have Just received This Hate Email .. Take A Look!
  9. Załącznik: Arabian.TXT.vbs
    Temat: Thank You For Flying With Arab Airlines
    Treść wiadomości: Please check if the bill is correct, by opening the attached file
  10. Załącznik: IMPORTANT.TXT.vbs
    Temat: Variant Test
    Treść wiadomości: This is a variant to the vbs virus.
  11. Załącznik: Vir-Killer.vbs
    Temat: Yeah, Yeah another time to DEATH...
    Treść wiadomości: This is the Killer for VBS.LOVE-LETTER.WORM.
  12. Załącznik: LOOK.vbs
    Temat: LOOK!
    Treść wiadomości: hehe...check this out.
  13. Załącznik: BEWERBUNG.TXT.vbs
    Temat: Bewerbung Kreolina
    Treść wiadomości: Sehr geehrte Damien und Herr en!

  14. Temat: Is this you in this picture?
    Treść wiadomości: Is this you in this picture?

Przypisy

  1. http://news.zdnet.com/2100-9595_22-520463.html TrendMicro HouseCall skaner online wykazuje, że zarażona jest jedna piąta wszystkich użutkowników HouseCall [en]
  2. ILOVEYOU. WHoWhatWhereWhenWhy.com [en].
  3. http://news.zdnet.com/2100-9595_22-520435.html?legacy=zdnn Brytyjski parlament wyłączył serwery e-mail żeby zapobiec stratom [en]
  4. moscii.com