TE IUBESC
ILOVEYOU este un vierme de computer care a atacat cu succes zeci de milioane de computere Windows pe 4 mai 2000 , când a fost trimis ca atașament la un e-mail cu textul „ILOVEYOU” în subiect . [1]
Difuzie
Deoarece viermele a folosit listele de corespondență ca surse pentru destinatari, mesajele au apărut adesea ca provenind de la cunoscuți și, prin urmare, au fost considerate „sigure”, oferind stimulente suplimentare pentru a deschide atașamentul. Au fost necesari doar câțiva utilizatori pentru a accesa atașamentul pentru fiecare furnizor pentru a genera milioanele de mesaje care au paralizat sistemele POP sub greutatea lor, ca să nu mai vorbim de faptul că viermele a suprascris milioane de fișiere pe stații de lucru și servere accesibile.
Viermele a sosit în cutiile poștale începând cu 5 mai 2000 cu obiectul simplu „ILOVEYOU” și atașamentul „LOVE-LETTER-FOR-YOU.TXT.vbs”. Extensia finală „vbs” a fost ascunsă implicit , făcându-i pe utilizatori să vadă numele fișierului ca „LOVE-LETTER-FOR-YOU.TXT” și să creadă că este un fișier text real. De îndată ce atașamentul a fost deschis, viermele a trimis o copie a sa către oricine din agenda de adrese Windows și cu adresa expeditorului utilizatorului. De asemenea, a făcut o serie de modificări dăunătoare sistemului utilizatorului.
Acest mecanism de propagare era deja cunoscut (în principal în mainframele IBM , mai degrabă decât în mediile MS Windows ) și folosit deja în pomul de Crăciun EXEC din 1987, care a dărâmat o serie de mainframe în lume la acea vreme. [ fără sursă ]
Patru aspecte ale viermelui l-au făcut eficient:
- S-a bazat pe ingineria socială pentru a atrage utilizatorii să deschidă atașamentul și să asigure propagarea sa continuă.
- S-a bazat pe un algoritm Microsoft defect pentru a ascunde extensiile de fișiere. Windows a ascuns inițial extensiile în mod implicit; algoritmul care analizează numele fișierelor de la dreapta la stânga, oprindu-se la prima „perioadă” („perioadă”). În acest fel, exploit-ul ar putea introduce a doua extensie a fișierului „TXT”, care pentru utilizator părea a fi extensia reală; fișierele text erau probabil considerate inofensive.
- S-a bazat pe activarea motorului de scriptare . Aceasta a fost de fapt o setare a sistemului; nu se știe dacă motorul a fost folosit înainte de aceasta; Microsoft a primit critici grele pentru că a lăsat activat în mod implicit un astfel de instrument puternic (și periculos) fără ca nimănui să-i pese de existența sa.
- Acesta a exploatat punctele slabe de proiectare ale sistemului de e-mail, prin care un program atașat putea fi rulat pur și simplu deschizându-l și astfel oferind acces complet la sistemul de fișiere și registru .
Există sute de variante ale acestui vierme.
Efecte
Răspândirea a început în Filipine pe 5 mai 2000 și s-a extins spre vest, apoi s-a mutat în Hong Kong și apoi în Europa și Statele Unite . [2] provocând daune estimate la 5,5 miliarde de dolari . [3] Începând cu 13 mai 2000 , au fost raportate 50 de milioane de infecții . [4] O mare parte din pagubele menționate au fost cauzate de efortul de a scăpa de vierme. Pentagonul , CIA și Parlamentul britanic au fost nevoiți să închidă sistemele de poștă pentru a scăpa de ele, la fel ca multe mari corporații . [5]
Viermele a suprascris fișiere importante ( muzică , multimedia etc.) cu o copie a sa. Singurele computere afectate au fost cele care rulează sisteme de operare Microsoft Windows , deoarece programul a fost scris în Visual Basic Script și interfațat cu agenda Outlook Windows ; Computerele care rulează un alt sistem de operare, în ciuda primirii e-mailului cu copia viermelui, nu au fost infectate.
Arhitectura viermilor
Viermele este scris folosind Microsoft Visual Basic Script (VBS) și cere utilizatorului să ruleze scriptul pentru a livra sarcina utilă . Adaugă un număr de chei de registry, astfel încât viermele să fie inițializat la pornirea sistemului. Adaugă tastele "HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MSKernel32", "HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices \ Win32DLL", astfel încât viermele să ruleze la pornire, "HKEY_CURRENT_USER \ Software \ Internet Explorer \ Main \ Start Page ", cu adresa" https://web.archive.org/web/20141219062303/http://www.skyinet.net/ ", astfel încât pagina de start să nu fie cea definită de utilizator , dar altul.
Viermele va căuta apoi toate unitățile de stocare conectate la computerul infectat și va înlocui fișierele cu extensia * .JPG, * .JPEG, * .VBS, * .VBE, * .JS, * .JSE, * .CSS, *. WSH, * .SCT, * .DOC * .HTA cu copii de la sine, adăugând extensia .VBS la sfârșitul numelor de fișiere. Viermele va găsi, de asemenea, fișiere * .MP3 și * .MP2 și, când va fi găsit, le va ascunde, se va copia cu același nume de fișier și va introduce extensia .VBS.
Viermele creează, de asemenea, o copie a sa în directoarele C: \ Windows \ cu numele „Win32DLL.vbs” și C: \ Windows \ System cu numele „LOVE-LETTER-FOR-YOU.TXT.vbs”.
Viermele are, de asemenea, un add-on, în care va descărca și rula un program infectat numit „WIN-BUGSFIX.EXE” sau „Microsoftv25.exe”, care este folosit pentru a fura parolele pe care apoi le va trimite prin e-mail.
Rezultate legislative
Frații filipinezi Irene și Onel de Guzmán din Manila [6] au fost raportați ca presupuși autori ai virusului; Iubitul Irene, Reomel Lamores, a fost ținut în custodie în mai 2000, în legătură cu focarul de viermi, împreună cu Michael Buenafe , un coleg al lui De Guzman la AMA Computer College . [7] . Onel a pășit în cele din urmă, dar a negat programarea viermelui, deși a recunoscut că poate a fost responsabil din răspândire pentru răspândirea acestuia. Întrucât nu existau legi în Filipine împotriva scrierii de malware în acel moment, el a fost eliberat din închisoare și în august, procurorii au renunțat la toate acuzațiile aduse împotriva sa.
În cultura de masă
În 2009, Upper Deck Entertainment a comemorat viermele ILoveYou ca parte a unui set de autocolante retrospective aniversare ale secolului XX . Întregul a avut ca scop cronica evenimentelor majore sportive, politice, culturii pop, tehnologiei și istoriei lumii din următorii 20 de ani, după ce Upper Deck și-a început afacerea. [8] [9]
Notă
- ^ Il Disinformatico: acum 20 de ani virusul / viermele Iloveyou a explodat , în Il Disinformatico , 8 mai 2020. Adus pe 8 mai 2020 .
- ^ ZDNet | Știri despre tehnologie, analize, comentarii și recenzii de produs pentru profesioniștii IT Arhivat 28 aprilie 2008 la Arhiva Internet .
- ^ ILOVEYOU , la catalogs.com , WHoWhatWhereWhenWhy.com. Adus la 26 mai 2008 .
- ^ Gary Barker, Microsoft ar putea fi victima dragostei , în The Age , 13 mai 2000.
- ^ Copie arhivată , la news.zdnet.com . Adus la 29 decembrie 2009 (arhivat din original la 24 iunie 2007) . Parlamentul britanic închide sistemele sale de poștă pentru a preveni daunele
- ^ CNN.com - Autoritățile încearcă să pună sub semnul întrebării perechea în atacul „Love Bug '- 11 mai 2000
- ^ https://www.theregister.co.uk/2005/05/11/love_bug_author/
- ^ Copie arhivată , la sports.upperdeck.com . Adus la 29 decembrie 2009 (arhivat din original la 16 decembrie 2009) .
- ^ Copie arhivată , la sports.upperdeck.com . Adus la 29 decembrie 2009 (arhivat din original la 17 decembrie 2009) .
linkuri externe
- Cod sursă , pe cexx.org .
- The Love Bug - O recenzie retrospectivă , la rixstep.com .
- Pagina descriptivă , pe www3.ca.com (arhivată din adresa URL originală la 8 decembrie 2006) .
- „ Nu există„ scuze ”de la autorul „ Love Bug ”pe Registr
- CERT Advisory CA-2000-04 Love Letter Worm , la cert.org .