В начале мая 2000 года количество признаний в любви как минимум в 3 раза превысило среднестатистические показатели. Признавались в любви все – от секретарш до парламентариев и министров, причем настойчиво и без разбору – всем, кому они могли это сделать. Началась эта сокрушающая любовь 4 мая 2000 года, когда один из пользователей (предположительно студент) разослал свой новый вирус-червь в сети Интернет. В теме письма содержалась строка «ILoveYou», а к письму был приложен скрипт «LOVE-LETTER-FOR-YOU.TXT.vbs». В большинстве случаев пользователь открывал вложение.
Дальнейшее распространение червя шло фантастически быстро по причине «веерной рассылки» – он отправлял свои копии по всем адресам электронной почты из адресной книги Outlook. В результате распространение зараженных писем имело взрывной эффект, сравнимый с ядерной цепной реакцией.
Допустим, в адресной книге сервера примерно 300 адресов, в компании работает 50 человек, и примерно 20% персонала не понимают, что запускать файлы из вложений нельзя, – получаем примерно следующее. Если в такую компанию попадает письмо с вирусом, то от компании уходит примерно 0.20*50*300 = 3000 зараженных писем. Первыми от вируса Love.Letter пострадали страны Азии, поскольку вирус был выпущен на свободу именно там (Филиппины).
Затем он пришел в Европу, из Европы в Америку и Россию. По оценкам различных компаний, поражению подверглось огромное количество компьютерных сетей (от 30% до 80% в зависимости от страны). Количество зараженных компьютеров на третий день нашествия червя оценивалось в 3 миллиона.
Наибольшей опасности были подвержены издательства и средства массовой информации, включая радиостанции, журналы, рекламные агентства и, в частности, те из них, кто владеет большими архивами графических и музыкальных файлов. Это связано с тем, что I Love You удалял определенные типы файлов. И апгрейд антивирусной базы данных позволял удалить вирус, но не мог остановить уже начавшийся процесс его разрушительного действия.
Есть данные, что почтовые сообщения с «I Love You» были получены в Пентагоне, Федеральном резервном Банке, Министерстве обороны США; ФБР начало расследование причин и источников распространения вируса.
Уже 5 мая только в Северной Америке убытки составили порядка миллиарда долларов США. Предполагаемый ущерб, который червь нанёс мировой экономике, оценивается в размере до 10 миллиардов долларов, за что вошёл в Книгу рекордов Гиннесса, как самый разрушительный компьютерный вирус в мире.
Быстрому распространению вируса послужили следующие его черты:
- Пользователи, открывавшие файл, тем самым передавали программу дальше, то есть механизм передачи был основан на методах социальной инженерии.
- Расширение файла в системах Windows по умолчанию было скрыто. Таким образом, файл с двойным расширением.txt.vbs пользователями воспринимался как безопасный текстовый файл, а системой интерпретировался как скрипт на языке VBScript.
- Обработка скриптов также была включена по умолчанию. На то время ещё не существовало программ, активно использующих скриптовые языки, поэтому была допущена столь серьёзная уязвимость.
- Открытие приложенного к письму файла вызывало немедленное исполнение программы, и вирус получал непосредственный доступ к системе и системному реестру.
Структура вируса I Love You
Скрипт I Love You Virus (приложение), написанный в Microsoft VBS по умолчанию, запускается в Microsoft Outlook. Затем скрипт добавляет данные реестра Windows для автоматического запуска при загрузке системы.
Затем червь ищет все подключенные диски и заменяет файлы с расширениями JPG, JPEG, VBS, VBE, CSS, WSH, JS, JSE, SCT, DOC, HTA, MP2 и MP3 на копии самого себя. Кроме того, он также добавляет расширение VBS, которое затем делает компьютер пользователя не загружаемым.
Однако MP3 и другие аудио и видеофайлы, связанные с звуком, скрываются, а не переписываются. Червь также распространяет себя, отправляя копию полезной нагрузки каждой записи в адресной книге (адресной книге Windows) Microsoft Outlook.
вирусное письмо
Вы можете судить об опасности вируса, отметив, что он загружает троян Barok из исполняемого файла WIN-BUGSFIX.EXE.
Кибермошенники используют вирус для замены важных файлов в системе, в результате чего более 25 вариантов вариации вируса I Love You распространяются через Интернет и вызывают различные виды повреждений.
Некоторые из вариантов изменяют тему электронной почты только для целевой аудитории. Например, вариант «Catolina», ориентированный на Италию, вариант «BabyPic» предназначался для взрослых по всему миру.
Некоторые электронные сообщения, отправленные вирусом I Love You, являются ВНИМАНИЕ ВИРУС!, ШУТКА!,
Однако одно электронное письмо было очень особенным. Это было сообщение электронной почты с темой «I LOVE YOU» с прикреплением LOVE-LETTER-FOR-YOU.txt.vbs. В большинстве случаев пользователи ошибочно понимают файл VBS текстового файла. Открытие этого файла быстро активирует VBS, вредоносные программы и отправляет электронные письма всем другим адресам из адресной книги Windows.
Кто же создал вирус?
Спустя 20 лет после того, как в мире произошла первая крупная атака компьютерного вируса, журналисты нашли его создателя и пообщались с ним. Речь идет о филиппинце Онеле де Гузмане, который создал червя ILOVEYOU (Love Bug) для кражи паролей.
44-летний хакер признал вину в распространении вируса, но отметил, что он не планировал совершать глобальную атаку. Де Гузман выразил сожаление из-за нанесенного им ущерба. «Я не ожидал, что вирус попадет в США и Европу. Я был удивлен», — заявил он в интервью для Crime Dot Com в рамках подготовки книги о киберпреступности.
Уже позднее следователи установили связь вируса с адресом электронной почты, зарегистрированной в квартире в Маниле, столице Филиппин. Онель де Гузман, тогда студент информатики в компьютерном колледже AMA, был братом хозяина квартиры. Он состоял в подпольной хакерской группе Grammersoft. Де Гузман стал главным подозреваемым в полицейском расследовании.
На пресс-конференции, которая прошла 11 мая 2000 года, хакер отметил, что он мог распространить вирус случайно. Под подозрение также попадал однокурсник филиппинца Майкл Буэн. В то время на Филиппинах не было закона, касающегося взлома, и обоих не стали преследовать.
Журналисты решили разыскать де Гузмана спустя 20 лет после описанных событий. Из разных источников поступала информация, что он мог эмигрировать в Германию, Австрию или США, а также начать работать на Microsoft. Однако на деле оказалось, что бывший взломщик теперь управляет мастерской по ремонту мобильных телефонов в районе Квиапо в Маниле. Это удалось выяснить благодаря местному нелегальному форуму.
Приехав на место, журналисты увидели, что рынок, где, предположительно, находится мастерская, просто огромен. Тогда они написали имя Онеля де Гузмана на листе бумаги и показали его случайным продавцам в надежде, что кто-нибудь узнает мужчину. Наконец один из них сообщил, что де Гузман работает уже в другой мастерской по ремонту телефонов в торговом центре Манилы.
После нескольких часов блуждания по торговому центру с бумажкой с именем де Гузмана журналист нашел небольшой киоск в глубине здания, и, наконец, встретился с хакером.
Мужчина в разговоре признался, что действительно создал ILOVEYOU, который, по его словам, был обновленной версией более раннего вируса для кражи паролей доступа в Интернет. В эпоху коммутируемого Интернета такие пароли были необходимы, чтобы пользоваться сетью бесплатно, а де Гузман не мог позволить себе заплатить за доступ.
По словам взломщика, он рассылал вирус только пользователям из Филиппин, с которыми общался в чатах.
Однако весной 2000 года де Гузман доработал код, добавив в него функцию автоматического распространения, которая отправляла копии вируса контактам Outlook, используя уязвимость в ОС Microsoft Windows 95. Он также придумал привлекательное название для вложения электронной почты, чтобы люди открывали его. «Я понял, что многие хотят любви, поэтому я так и назвал вложение», — пояснил хакер.
Де Гузман утверждает, что сначала он отправил вирус кому-то в Сингапуре, а затем пошел выпить с другом. Впервые он узнал о происходящем глобальном хаосе от матери, которая сказала ему, что полиция охотится на хакера в Маниле. Она же и спрятала компьютерное оборудование сына.
Де Гузман отметил, что Буэн не имеет ничего общего с ILOVEYOU, и что он был единственным создателем червя.
После того, как личность хакера была раскрыта, он так и не вернулся в колледж. Де Гузман рассказал, что его друзья до сих пор натыкаются на его фото в Интернете в связи с глобальной атакой, и присылают снимки ему. Взломщик заключил, что он стыдится того, что сделал.
Как было сказано ранее, повесить на бывшего студента обвинение не удалось - в его пользу играло несовершенное законодательство Филиппин и отсутствие улик. Сам молодой человек отвечал на вопросы о вирусе очень неоднозначно. По его показаниям выходило, что скрипт был написан не им, но именно он выпустил программу в мир.
Однако в 2010 году появилась другая версия. Согласно ей, I love you - вирус, написанный однокурсником де Гузмана. Тот был влюблён в девушку Онела, и чтобы отомстить, создал вредоносный скрипт, включив в него разработку студента. После чего взломал почтовый ящик его возлюбленной и с него отправил Онелу письмо с вирусом. Таким образом, выходит, что вина де Гузмана может считаться лишь косвенной, т. к. он стал распространителем эпидемии в качестве жертвы, а не создателя.
Источник
6.2М
