Я ЛЮБЛЮ ВАС - ILOVEYOU
Распространенное имя | Я ЛЮБЛЮ ВАС |
---|---|
Псевдонимы | Love Bug, Любовное письмо |
Тип | Компьютерный червь |
Начало координат | Манила, Филиппины |
Авторы) | Онель де Гусман |
Операционные системы) затронутый | Windows 9x, Windows NT 4.0, Windows 2000 |
Написано в | VBScript |
Я ЛЮБЛЮ ВАС, иногда называемый Ошибка любви или Любовное письмо для тебя, это компьютерный червь что заразило более десяти миллионов Windows персональные компьютеры после 4 мая 2000 г.[1] когда он начал распространяться в виде электронного письма с темой «ILOVEYOU» и вложением «LOVE-LETTER-FOR-YOU.txt.vbs». Последнее расширение файла ('vbs ', тип интерпретируемый файл ) чаще всего был скрыт по умолчанию на компьютерах с Windows того времени (поскольку это расширение для типа файла, известного в Windows), заставляя невольных пользователей думать, что это обычный текстовый файл. Открытие вложения активирует Visual Basic сценарий. Червь наносит ущерб локальному компьютеру, перезаписывая случайные типы файлов (включая файлы Office, файлы изображений и аудиофайлы; однако после перезаписи MP3 файлов вирус скрывает файл) и отправляет свою копию по всем адресам в Адресная книга Windows использован Microsoft Outlook. Благодаря этому он распространялся намного быстрее, чем любой другой предыдущий почтовый червь.[нужна цитата ]
Творчество
ILOVEYOU был создан Онелем де Гусманом, студентом колледжа из Манилы, Филиппины, которому в то время было 24 года. Де Гусман, который в то время был беден и изо всех сил пытался платить за доступ в Интернет, создал компьютерного червя, намереваясь украсть пароли других пользователей, которые он мог использовать для входа в их учетные записи в Интернете без необходимости платить за услугу. Он оправдывал свои действия тем, что считал, что доступ в Интернет - это право человека, и что он на самом деле не воровал.[2]
Червь использовал те же принципы, которые де Гусман описал в своей дипломной работе в Компьютерный колледж AMA. Он заявил, что червя очень легко создать благодаря ошибке в Windows 95, которая запускала код во вложениях электронной почты, когда пользователь нажимал на них. Первоначально создавая червя для работы только в Маниле, он из любопытства снял это географическое ограничение, которое позволило червю распространиться по всему миру. Де Гусман не ожидал такого всемирного распространения.[2]
Описание
На уровне машинной системы ILOVEYOU полагалась на скриптовый движок системная настройка (которая запускает файлы языка сценариев, такие как файлы .vbs), включена, и использовала функцию в Windows, которая по умолчанию скрывала расширения файлов, которые авторы вредоносных программ будут использовать в качестве эксплуатировать. Windows будет разбирать имена файлов справа налево, останавливаясь на первом символе точки, показывая только те элементы, которые находятся слева от него. Таким образом, вложение, имеющее две точки, могло отображать внутреннее поддельное расширение файла «txt». Настоящие текстовые файлы считаются безобидными, так как они не могут быть запущены исполняемый файл код. Червь использовал социальная инженерия чтобы побудить пользователей открыть вложение (из-за реального желания подключиться или из простого любопытства) для обеспечения непрерывного распространения.[3] Системные недостатки в дизайне Microsoft Outlook и Майкрософт Виндоус были использованы, что позволило вредоносному коду получить полный доступ к операционной системе, вторичному хранилищу, системным и пользовательским данным просто путем простого нажатия пользователем на значок.
Распространение
Сообщения, генерируемые на Филиппинах, начали распространяться на запад через корпоративные системы электронной почты. Поскольку червь использовал списки рассылки в качестве источника своих целей, сообщения часто приходили от знакомых и поэтому их жертвы часто считали "безопасными", что создавало дополнительный стимул для их открытия. Только несколько пользователей на каждом сайте должны были получить доступ к вложению, чтобы сгенерировать миллионы сообщений, которые наносили ущерб почтовым системам и перезаписывали миллионы файлов на компьютерах в каждом последующем. сеть.
Влияние
Червь возник в Пандакан окрестности Манила на Филиппинах 4 мая 2000 г.,[4] после этого на рассвете по всему миру, когда сотрудники начали свой рабочий день в пятницу утром, перебравшись сначала в Гонконг, затем в Европу и, наконец, в Соединенные Штаты.[5][1] Позднее было оценено, что вспышка нанесла ущерб в размере 5,5–8,7 млрд долларов США по всему миру.[6][7][нужен лучший источник ] и, по оценкам, его удаление обошлось в 15 миллиардов долларов США.[8] В течение десяти дней было зарегистрировано более пятидесяти миллионов случаев заражения.[9] и, по оценкам, 10% компьютеров в мире, подключенных к Интернету, пострадали.[7][нужен лучший источник ] Упомянутый ущерб - это в основном время и усилия, затраченные на избавление от инфекции и восстановление файлов из резервных копий. Чтобы защитить себя, Пентагон, ЦРУ, то Британский парламент и большинство крупных корпораций решили полностью отключить свои почтовые системы.[10] Червь ILOVEYOU заразил компьютеры по всему миру. В то время это была одна из самых разрушительных компьютерных катастроф в мире.
События вдохновили песню "E-mail" на Зоомагазин мальчики 'Топ-10 альбомов Великобритании 2002 года, Выпуск, тексты которых тематически обыгрывают человеческие желания, которые сделали возможным массовое уничтожение этой компьютерной инфекции.
Архитектура
Скрипт ILOVEYOU (приложение) был написан в Microsoft Сценарии Visual Basic (VBS), который работает в Microsoft Outlook и был включен по умолчанию. Скрипт добавляет Реестр Windows данные для автоматического запуска при загрузке системы.
Червь ищет подключенные диски и заменяет файлы с расширениями. JPG, JPEG, VBS, VBE, JS, JSE, CSS, WSH, SCT, DOC, HTA, MP2, и MP3 с собственными копиями, добавляя при этом дополнительное расширение файла VBS, в результате чего компьютер пользователя не загружается. Однако MP3 и другие файлы, связанные со звуком, будут скрыты, а не перезаписаны.
Червь распространяется, отправляя по одной копии полезной нагрузки каждой записи в Microsoft Outlook адресная книга (Адресная книга Windows). Он также загружает Barok троян переименован по этому поводу как "WIN-BUGSFIX.EXE".
Тот факт, что червь был написан на VBS, давал пользователям возможность изменить его. Пользователь мог легко изменить червя, чтобы заменить важные файлы в системе и уничтожить его. Это позволило более чем двадцати пяти вариациям ILOVEYOU распространиться по Интернету, каждый из которых наносил разный ущерб.[11] Большинство изменений связано с тем, какие расширения файлов были затронуты червем. Другие просто изменили тему письма, чтобы сделать его ориентированным на определенную аудиторию, например, вариант «Cartolina» на итальянском языке или вариант «BabyPic» для взрослых. Некоторые другие только изменили сведения об авторе, которые изначально были включены в стандартную версию вируса, полностью удалив их или ссылаясь на ложных авторов.[11]
Некоторые почтовые сообщения, отправленные ILOVEYOU:
изучение
5 мая 2000 года двое молодых филиппинских программистов по имени Реонел Рамонес и Онель де Гусман стали жертвами расследование преступления агентами Филиппин Национальное бюро расследований (NBI).[13] Местный интернет-провайдер Sky Internet сообщал о получении многочисленных контактов от европейских пользователей компьютеров, утверждающих, что вредоносное ПО (в форме червя «ILOVEYOU») было отправлено через серверы провайдера.
Де Гусман попытался скрыть улики, вынув свой компьютер из своей квартиры, но он случайно оставил несколько дисков, содержащих червя, а также информацию о том, что Майкл Буэн может быть сообщником.[2]
После наблюдения и расследования Дарвина Бавасанты из Sky Internet, NBI отследил часто появляющийся телефонный номер.[требуется разъяснение ] в квартиру Рамонеса в Манила. В его доме был произведен обыск, Рамонес был арестован и подвергнут расследованию. Министерство юстиции (DOJ). Онель де Гусман также был обвинен заочно.[нужна цитата ]
На тот момент NBI не были уверены, какое уголовное преступление или преступление будет применяться.[13] Было предложено обвинить их в нарушении Закона Республики 8484 (Закон о регулировании устройств доступа), закона, предназначенного в основном для наказания мошенничество с кредитными картами, поскольку оба использовали предоплаченные (если не украденные) интернет-карты для покупки доступа к интернет-провайдерам. Другая идея заключалась в том, что их обвиняют в злонамеренных зло уголовное преступление (в соответствии с пересмотренным Уголовным кодексом Филиппин 1932 года), связанное с повреждением имущества. Недостатком здесь было то, что один из его элементов, помимо ущерба собственности, имел намерение нанести ущерб, и де Гусман утверждал во время следственных действий, что он мог невольно выпустить червя.[14] На пресс-конференции, организованной его адвокатом 11 мая, он сказал: «Это возможно», когда его спросили, мог ли он это сделать.
Чтобы продемонстрировать намерение, NBI провела расследование Компьютерный колледж AMA, где де Гусман бросил учебу в самом конце последнего года обучения.[13] Они обнаружили, что для своей дипломной работы де Гусман предложил реализовать троян украсть пароли для входа в Интернет.[15] Таким образом, предположил он, пользователи, наконец, смогут позволить себе подключение к Интернету. Предложение было отклонено Колледжем Компьютерные исследования доска[14] побуждая де Гусмана отменить учебу за день до выпуска.
Последствия
Поскольку в то время на Филиппинах не существовало законов против написания вредоносных программ, и Рамонес, и де Гусман были освобождены, и все обвинения были сняты государственной прокуратурой.[16] Чтобы устранить этот законодательный недостаток,[13] Конгресс Филиппин принял Республиканский закон № 8792,[17] иначе известный как Закон об электронной коммерции, принятый в июле 2000 года, всего через два месяца после распространения червя.
В 2012 г. Смитсоновский институт назвал ILOVEYOU десятым самым опасным компьютерным вирусом в истории.[3]
Де Гусман не хотел общественного внимания. Его последнее известное публичное появление было на пресс-конференции 2000 года, где он закрыл лицо и позволил своему адвокату ответить на большинство вопросов, а его местонахождение оставалось неизвестным в течение 20 лет после этого. В мае 2020 года выяснилось, что во время исследования своей книги о киберпреступности Crime Dot Com журналист-расследователь Джефф Уайт обнаружил, что Онель де Гусман работает в кабинке по ремонту мобильных телефонов в Маниле. Де Гусман признал, что создал и выпустил вирус. Он утверждал, что изначально разработал его для кражи паролей доступа в Интернет, так как он не мог позволить себе платить за доступ. Он также заявил, что создал его в одиночку, убрав двух других, обвиненных в соавторстве с червем.[18][19]
Смотрите также
- Елка EXEC
- Код Красный червь
- Компьютерный вирус
- Нимда (компьютерный червь)
- Хронология известных компьютерных вирусов и червей
использованная литература
- ^ а б Кейн, Маргарет (4 мая 2000 г.). "'Почтовый червь ILOVEYOU вторгается на компьютеры ". Новости ZDNet. Архивировано из оригинал на 2008-12-27.
- ^ а б c "Двадцатилетняя охота за вирусом любовного клопа". Проводной. ISSN 1059-1028. Получено 2020-09-15.
- ^ а б «Десять самых разрушительных компьютерных вирусов». Смитсоновский институт. 2012-03-20. Получено 2013-10-25.
- ^ «Никаких оправданий для вирусов, предупреждает MessageLabs». MessageLabs. 10 мая 2000 г. Архивировано с оригинал на 2000-12-14.
- ^ "'Хакер Love bug - человек из Пандакана, 23 года. Филиппинская звезда.
- ^ Гарза, Джордж. «Топ-10 худших компьютерных вирусов». Catalogs.com. Получено 2008-05-26.
- ^ а б http://bi.gazeta.pl/im/7/5140/m5140197.pdf
- ^ Бакленд, Джейсон. «Ошибка« любви »- 10 худших киберпреступлений десятилетия». tech.ca.msn.com. Архивировано из оригинал на 2011-10-27.
- ^ Баркер, Гэри (14 мая 2000 г.). «Microsoft, возможно, стала целью Lovebug». Возраст.
- ^ Кейн, Маргарет (4 мая 2000 г.). «Британский парламент отключил свои почтовые системы, чтобы предотвратить повреждение». Новости ZDNet. Архивировано из оригинал 23 сентября 2007 г.
- ^ а б «Я ЛЮБЛЮ ТЕБЯ Вирусная помощь». Компьютерная надежда. Получено 11 февраля 2013.
- ^ а б «Symantec обнаруживает все известные новые варианты червя VBS.LoveLetter.A». Symantec. Получено 8 февраля 2013.
- ^ а б c d Гана, Северино Х. мл. «Судебное преследование киберпреступлений посредством соответствующего законодательства о киберпреступлениях в Республике Филиппины». Архивировано из оригинал на 2008-02-06.
- ^ а б Лэндлер, Марк (2000-10-21). "Филиппинец, связанный с" Love Bug ", рассказывает о своей лицензии на взлом". Нью-Йорк Таймс. Получено 2010-05-05.
- ^ «Отклоненная диссертация Онеля де Гусмана в компьютерном колледже AMA». ComputerBytesMan.com. Архивировано из оригинал on 2010-04-26. Получено 2010-12-05.
- ^ Арнольд, Уэйн (2000-08-22). «Технологии; Филиппины откажутся от платежей за вирусы для электронной почты». Нью-Йорк Таймс. Получено 2010-05-05.
- ^ «Республиканский закон № 8792 - Закон, предусматривающий признание и использование электронных коммерческих и некоммерческих операций и документов, штрафы за их незаконное использование и в других целях». 2001-08-01. Получено 2010-12-05 - через ChanRobles.com.
- ^ Уайт, Джефф (2 мая 2020 г.). «Создателя Love Bug разыскали в ремонтной мастерской в Маниле». Новости BBC.
- ^ Уайт, Джефф (21 апреля 2020 г.). «Выявлено: человек, стоящий за первой крупной пандемией компьютерных вирусов». Computer Weekly.