ILOVEYOU , иногда называемый Love Bug или Love Letter for you , - компьютерный червь , заразивший более десяти миллионов персональных компьютеров Windows 5 мая 2000 г. и после него, когда он начал распространяться в виде электронного письма с темой «ILOVEYOU» и вложением. "ЛЮБОВЬ-ПИСЬМО-К-ВАМ.txt.vbs". Последнее расширение файла (' vbs ', тип интерпретируемого файла ) чаще всего было скрыто по умолчанию на компьютерах с Windows того времени (поскольку это расширение для типа файла, известного в Windows), заставляя невольных пользователей думать это был обычный текстовый файл. Открытие вложения активирует Visual Basicсценарий. Червь наносит ущерб локальному компьютеру, перезаписывая случайные типы файлов (включая файлы Office, файлы изображений и аудиофайлы; однако после перезаписи файлов MP3 вирус скрывает файл) и отправляет свою копию по всем адресам в Windows. Адресная книга, используемая Microsoft Outlook . Благодаря этому он распространялся намного быстрее, чем любой другой предыдущий почтовый червь. [ необходима цитата ]
Распространенное имя | Я ЛЮБЛЮ ВАС |
---|---|
Псевдонимы | Love Bug, Любовное письмо |
Тип | Компьютерный червь |
Начало координат | Манила , Филиппины |
Авторы) | Онель де Гусман |
Затронутые операционные системы | Windows 9x , Windows NT 4.0 , Windows 2000 |
Написано в | VBScript |
Вредоносное ПО было создано Онелем де Гусманом, 24-летним жителем Манилы , Филиппины . Поскольку на момент создания на Филиппинах не было законов, запрещающих создание вредоносных программ, Конгресс Филиппин принял в июле 2000 года республиканский закон № 8792, также известный как Закон об электронной торговле, чтобы воспрепятствовать повторению такой деятельности в будущем. . Однако Конституция Филиппин запрещает законы постфактум , и поэтому де Гусман не может быть привлечен к ответственности. [1]
Создание
ILOVEYOU был создан Онелем Де Гусманом, студентом колледжа из Манилы, Филиппины, которому в то время было 24 года. Де Гусман, который в то время был беден и изо всех сил пытался платить за доступ в Интернет, создал компьютерного червя, намеревающегося украсть пароли других пользователей, которые он мог использовать для входа в их учетные записи в Интернете без необходимости платить за услугу. Он оправдывал свои действия тем, что считал, что доступ в Интернет - это право человека, и что он на самом деле не воровал. [2]
Червь использовал те же принципы, которые де Гусман описал в своей дипломной работе в компьютерном колледже AMA . Он заявил, что червя очень легко создать благодаря ошибке в Windows 95 , которая запускала код во вложениях электронной почты, когда пользователь нажимал на них. Первоначально создавая червя для работы только в Маниле, он из любопытства снял это географическое ограничение , которое позволило червю распространиться по всему миру. Де Гусман не ожидал такого всемирного распространения. [2]
Описание
На уровне машинной системы ILOVEYOU полагался на включенную настройку системы сценариев (которая запускает файлы языков сценариев, такие как файлы .vbs), и воспользовалась функцией Windows, которая по умолчанию скрывала расширения файлов, которые авторы вредоносных программ использовали бы в качестве эксплуатируют . Windows будет анализировать имена файлов справа налево, останавливаясь на первом символе точки, показывая только те элементы, которые находятся слева от него. Таким образом, вложение, которое имело две точки, могло отображать внутреннее поддельное расширение файла «txt». Настоящие текстовые файлы считаются безобидными, поскольку они не могут запускать исполняемый код. Червь использовал социальную инженерию, чтобы побудить пользователей открыть вложение (из-за реального желания подключиться или простого любопытства), чтобы обеспечить непрерывное распространение. [3] Системные недостатки в конструкции Microsoft Outlook и Microsoft Windows были использованы для того, чтобы позволить вредоносному коду получить полный доступ к операционной системе, вторичному хранилищу, системным и пользовательским данным, просто путем простого нажатия пользователем на значок. [ необходима цитата ]
Распространение
Сообщения, генерируемые на Филиппинах, начали распространяться на запад через корпоративные системы электронной почты. Поскольку червь использовал списки рассылки в качестве источника своих целей, сообщения часто приходили от знакомых и поэтому часто рассматривались их жертвами как «безопасные», что создавало дополнительный стимул для их открытия. Только несколько пользователей на каждом сайте должны были получить доступ к вложению, чтобы сгенерировать миллионы сообщений, которые наносили ущерб почтовым системам и перезаписывали миллионы файлов на компьютерах в каждой последующей сети . [ необходима цитата ]
Влияние
Червь возник в районе Пандакан в Маниле на Филиппинах 4 мая 2000 года [4], после чего после рассвета на запад по всему миру, когда сотрудники начали свой рабочий день в пятницу утром, перебравшись сначала в Гонконг, затем в Европу и, наконец, в Европу. Соединенные Штаты. [5] [6] Позднее было установлено, что вспышка нанесла ущерб в размере 5,5–8,7 млрд долларов США во всем мире [7] [8], а уничтожение червя обошлось в 10–15 млрд долларов США. [9] [10] В течение десяти дней было зарегистрировано более пятидесяти миллионов случаев заражения, [11] и, по оценкам, 10% подключенных к Интернету компьютеров в мире были затронуты. [9] Упомянутый ущерб - это в основном время и усилия, потраченные на избавление от заражения и восстановление файлов из резервных копий. Чтобы защитить себя, Пентагон , ЦРУ , британский парламент и большинство крупных корпораций решили полностью отключить свои почтовые системы. [12] В то время это была одна из самых разрушительных компьютерных катастроф в мире. [ необходима цитата ]
Эти события вдохновили песню "E-mail" на альбоме " Release" , входящего в десятку лучших британских зоомагазинов в 2002 году , текст которого тематически повествует о человеческих желаниях, которые сделали возможным массовое уничтожение этой компьютерной инфекции. [ необходима цитата ]
Архитектура
Сценарий ILOVEYOU (вложение) был написан на языке Microsoft Visual Basic Scripting (VBS), который запускается в Microsoft Outlook и включен по умолчанию. Сценарий добавляет данные реестра Windows для автоматического запуска при загрузке системы.
Червь ищет подключенные диски и заменяет файлы с расширениями JPG , JPEG , VBS , VBE, JS , JSE, CSS , WSH , SCT , DOC , HTA , MP2 и MP3 своими копиями, при этом добавляя дополнительное расширение файла VBS, делая компьютер пользователя не загружается. Однако MP3 и другие файлы, связанные со звуком, будут скрыты, а не перезаписаны. [ необходима цитата ]
Червь распространяется, отправляя по одной копии полезной нагрузки каждой записи в адресной книге Microsoft Outlook ( адресная книга Windows). Он также загружает троян Barok, переименованный по этому случаю как «WIN-BUGSFIX.EXE». [ необходима цитата ]
Тот факт, что червь был написан на VBS, давал пользователям возможность изменить его. Пользователь мог легко изменить червя, чтобы заменить важные файлы в системе и уничтожить его. Это позволило более чем 25 разновидностям ILOVEYOU распространиться по Интернету, причем каждая из них наносила разный ущерб. [13] Большинство изменений связано с тем, какие расширения файлов были затронуты червем. Другие просто изменили тему письма, чтобы сделать его ориентированным на определенную аудиторию, например, вариант «Cartolina» на итальянском языке или вариант «BabyPic» для взрослых. Некоторые другие только изменили сведения об авторе, которые изначально были включены в стандартную версию вируса, полностью удалив их или ссылаясь на ложных авторов. [13]
Некоторые почтовые сообщения, отправленные ILOVEYOU:
- ПРЕДУПРЕЖДЕНИЕ О ВИРУСЕ !! [14]
- Важный! Читай внимательно!! [14]
Расследование
5 мая 2000 года двое молодых филиппинских программистов по имени Реонел Рамонес и Онель де Гусман стали объектами уголовного расследования агентов Национального бюро расследований Филиппин (NBI). [15] Местный интернет-провайдер Sky Internet сообщил о получении многочисленных контактов от европейских пользователей компьютеров, утверждающих, что вредоносное ПО (в форме червя «ILOVEYOU») было отправлено через серверы провайдера. [ необходима цитата ]
Де Гусман попытался скрыть улики, вынув свой компьютер из своей квартиры, но он случайно оставил несколько дисков, содержащих червя, а также информацию о том, что Майкл Буэн может быть соучастником заговора. [2]
После наблюдения и расследования, проведенного Дарвином Бавасантой из Sky Internet, NBI отследил часто появляющийся номер телефона [ требуется разъяснение ] квартиры Рамонеса в Маниле . В его доме был произведен обыск, Рамонес был арестован и подвергнут расследованию Министерством юстиции (DOJ) . Онель де Гусман также был обвинен заочно . [ необходима цитата ]
На тот момент NBI не было уверено, какое уголовное преступление будет применяться. [15] Было предложено обвинить их в нарушении Республиканского закона 8484 (Закон о регулировании устройств доступа), закона, предназначенного в основном для наказания за мошенничество с кредитными картами , поскольку оба использовали предоплаченные (если не украденные) интернет-карты для покупки доступа к интернет-провайдерам. . Другая идея заключалась в том, что им было предъявлено обвинение в злонамеренном причинении вреда , уголовном преступлении (в соответствии с пересмотренным Уголовным кодексом Филиппин 1932 года), связанном с нанесением ущерба собственности. Недостатком здесь было то, что одним из его элементов, помимо ущерба собственности, было намерение нанести ущерб, и де Гусман утверждал во время следственных действий, что он мог непреднамеренно выпустить червя. [16] На пресс-конференции, организованной его адвокатом 11 мая, он сказал: «Это возможно», когда его спросили, мог ли он это сделать. [ необходима цитата ]
Чтобы продемонстрировать намерение, NBI провела расследование в компьютерном колледже AMA , где де Гусман бросил учебу в самом конце последнего года обучения. [15] Они обнаружили, что в своей дипломной работе де Гусман предложил реализацию трояна для кражи паролей для входа в Интернет. [17] Таким образом, предположил он, пользователи, наконец, смогут позволить себе подключение к Интернету. Предложение было отклонено советом Колледжа компьютерных исследований [16], что побудило де Гусмана отменить учебу за день до выпуска. [ необходима цитата ]
Последствия
Поскольку в то время на Филиппинах не было законов против написания вредоносных программ, и Рамонес, и де Гусман были освобождены, и все обвинения были сняты государственной прокуратурой. [18] Чтобы устранить этот законодательный недостаток, [15] Конгресс Филиппин принял Республиканский закон № 8792 [19], также известный как Закон об электронной торговле, в июле 2000 года, через несколько месяцев после вспышки червя. [1]
В 2012 году Смитсоновский институт назвал ILOVEYOU десятым по величине вирулентным компьютерным вирусом в истории. [3]
Де Гусман не хотел общественного внимания. Его последнее известное публичное выступление было на пресс-конференции 2000 года, где он закрыл лицо и позволил своему адвокату ответить на большинство вопросов; его местонахождение оставалось неизвестным в течение 20 лет после этого. В мае 2020 года журналист-расследователь Джефф Уайт сообщил, что, исследуя свою книгу о киберпреступности Crime Dot Com , он обнаружил, что Онель де Гусман работает в ларьке по ремонту мобильных телефонов в Маниле. Де Гусман признался в создании и выпуске вируса. Он утверждал, что изначально он разработал его для кражи паролей доступа в Интернет, поскольку он не мог позволить себе платить за доступ. Он также заявил, что создал его в одиночку, убрав двух других, обвиненных в соавторстве с червем. [20] [21]
Смотрите также
- Елка EXEC
- Код Красный червь
- Компьютерный вирус
- Nimda (компьютерный червь)
- Хронология известных компьютерных вирусов и червей
Рекомендации
- ^ a b Caña, Пол Джон (5 мая 2020 г.). «Филиппинский создатель вируса« Я люблю тебя »только что сделал это, чтобы получить бесплатный Интернет» . Esquire Philippines . Архивировано из оригинала 7 июня 2020 года . Проверено 19 января 2021 года .
- ^ а б в «Двадцатилетняя охота за вирусом любовного клопа» . Проводной . ISSN 1059-1028 . Проверено 15 сентября 2020 .
- ^ а б «Десять самых разрушительных компьютерных вирусов» . Смитсоновский институт . 20 марта 2012 года архивации с оригинала на 29 октября 2013 года . Проверено 25 октября 2013 года .
- ^ «Нет оправдания вирусным атакам, - предупреждает MessageLabs» . MessageLabs. 10 мая 2000 года Архивировано из оригинала на 2000-12-14.
- ^ Кейн, Маргарет (4 мая 2000 г.). « „ ILoveYou“электронной почты червь вторгается ПК» . Новости ZDNet . Архивировано из оригинала на 2008-12-27.
- ^ « Хакер из « Love bug »- мужчина из Пандакана, 23 года» . Филиппинская звезда .
- ^ Гарза, Джордж. «Топ-10 худших компьютерных вирусов» . Catalogs.com . Проверено 26 мая 2008 .
- ^ "Język angielski i niemiecki" (PDF) . Gazeta Edukacja (на польском языке). Апрель 2008. Архивировано из оригинального (PDF) 9 декабря 2008 года.[ нужен лучший источник ]
- ^ а б Уиндер, Дэйви (4 мая 2020 г.). «Этот 20-летний вирус заразил 50 миллионов компьютеров с Windows за 10 дней: почему пандемия ILOVEYOU имеет значение в 2020 году» . Forbes . Проверено 22 февраля 2021 года .
- ^ Бакленд, Джейсон. «Ошибка любви - 10 худших киберпреступлений десятилетия» . tech.ca.msn.com . Архивировано из оригинала на 2011-10-27.
- ^ Баркер, Гэри (14 мая 2000 г.). «Microsoft, возможно, стала целью Lovebug». Возраст .
- ^ Кейн, Маргарет (4 мая 2000 г.). «Британский парламент отключил свои почтовые системы, чтобы предотвратить повреждение» . Новости ZDNet . Архивировано из оригинального 23 сентября 2007 года.
- ^ а б «Я ЛЮБЛЮ ВАС Вирусная помощь» . Компьютерная надежда . Проверено 11 февраля 2013 года .
- ^ а б «Symantec обнаруживает все известные новые варианты червя VBS.LoveLetter.A» . Symantec. 6 мая 2000 года Архивировано из оригинала 16 марта 2014 года . Проверено 8 февраля 2013 года .
- ^ а б в г Гана, Северино Х. мл. «Преследование киберпреступлений посредством соответствующего законодательства о киберпреступлениях в Республике Филиппины» . Азиатский фонд уголовного управления . Архивировано из оригинала на 2008-02-06.
- ^ а б Лэндлер, Марк (2000-10-21). «Филиппинец, связанный с« Love Bug », рассказывает о своей лицензии на взлом» . Нью-Йорк Таймс . Проверено 5 мая 2010 .
- ^ «Отклоненная диссертация Онеля де Гусмана в компьютерном колледже AMA» . ComputerBytesMan.com . Архивировано из оригинала на 2010-04-26 . Проверено 5 декабря 2010 .
- ^ Арнольд, Уэйн (22 августа 2000). «Технологии; Филиппины откажутся от платежей за вирусы электронной почты» . Нью-Йорк Таймс . Проверено 5 мая 2010 .
- ^ «Республиканский закон № 8792 - Закон, предусматривающий признание и использование электронных коммерческих и некоммерческих операций и документов, санкции за их незаконное использование и в других целях» . 2001-08-01 . Источник 2010-12-05 - через ChanRobles.com.
- ^ Уайт, Джефф (2 мая 2020 г.). «Создатель Love Bug разыскал ремонтную мастерскую в Маниле» . Новости BBC.
- ^ Уайт, Джефф (21 апреля 2020 г.). «Выявлено: человек, стоящий за первой крупной пандемией компьютерных вирусов» . Computer Weekly .
Внешние ссылки
- The Love Bug - ретроспективный взгляд
- Отчет об извлеченных уроках вируса ILOVEYOU, командование вооруженных сил
- Radsoft: сводка новостей ILOVEYOU
- " Никаких извинений от автора Love Bug " в The Register
- CERT Advisory CA-2000-04 Червь Love Letter