Я ТЕБЯ ЛЮБЛЮ

Компьютерный червь

ILOVEYOU , иногда называемый Love Bug или Loveletter , был компьютерным червем , который заразил более десяти миллионов персональных компьютеров Windows 5 мая 2000 года и позже. Он начал распространяться как сообщение электронной почты с темой "ILOVEYOU" и вложением "LOVE-LETTER-FOR-YOU.TXT.vbs". ^[1] В то время компьютеры Windows часто скрывали последнее расширение файла (" VBS ", тип интерпретируемого файла ) по умолчанию, поскольку это расширение для типа файла, который знает Windows, заставляя неосведомленных пользователей думать, что это обычный текстовый файл. Открытие вложения активирует скрипт Visual Basic . Сначала червь наносит ущерб локальной машине, перезаписывая случайные файлы (включая файлы Office и файлы изображений; однако он скрывает файлы MP3 вместо того, чтобы удалять их), затем он копирует себя по всем адресам в адресной книге Windows , используемой Microsoft Outlook , что позволяет ему распространяться намного быстрее, чем любому другому предыдущему червю электронной почты. ^{[2] [3]}

Онель де Гусман ^[4] , тогда 24-летний студент компьютерных наук в колледже AMA Computer ^[5] и житель Манилы , Филиппины , создал вредоносное ПО . Поскольку на момент его создания на Филиппинах не было законов, запрещающих создание вредоносного ПО, Филиппинский конгресс в июле 2000 года принял Закон Республики № 8792, также известный как Закон об электронной коммерции, чтобы воспрепятствовать будущим итерациям такой деятельности. Однако Конституция Филиппин запрещает законы ex post facto , и как таковой де Гусман не мог быть привлечен к ответственности. ^[6]

Фон

Червь ILOVEYOU был написан Онелем де Гусманом, тогда студентом Филиппинского компьютерного колледжа AMA . На момент его создания де Гусман был беден и с трудом мог заплатить за коммутируемый доступ в Интернет в стране . ^[5] Де Гусман считал, что доступ в Интернет является правом человека , ^[5] и представил в колледж дипломную работу , в которой предлагалось разработать троян для кражи данных для входа в Интернет. ^[7] Он утверждал, что это позволит пользователям позволить себе подключение к Интернету, утверждая, что пострадавшие от этого не понесут никаких потерь. ^[5] Предложение было отклонено колледжем, который отметил, что его предложение было «незаконным» и что «они не выпускают взломщиков». ^[7] Это привело к тому, что де Гусман заявил, что его профессора были недалекими, ^[4] и в конечном итоге он бросил колледж и начал разработку червя. ^[8]

Архитектура

Извлечение кода червя с функцией копирования себя в каталоги

Де Гусман написал ILOVEYOU на языке VBScript , а для запуска кода используется Windows Script Host . ILOVEYOU распространялся через вредоносные вложения электронной почты . Червь был обнаружен в электронных письмах с темой «ILOVEYOU» и сообщением «Пожалуйста, проверьте прикрепленное любовное письмо от меня!» Вложение LOVE-LETTER-FOR-YOU.TXT.vbsсодержало червя. ^[9]

При открытии файла червь копирует себя в соответствующие каталоги , чтобы запуститься после перезагрузки компьютера. Две из трех копий маскируются под легитимные файлы библиотеки Microsoft Windows , называемые MSKernel32.vbsи Win32DLL.vbs. Другая копия сохраняет оригинальное LOVE-LETTER-FOR-YOU.TXT.vbsимя. ^[10]

Червь пытается загрузить троянского коня с именем . Для этого домашняя страница Internet ExplorerWIN-BUGSFIX.exe жертвы устанавливается на URL, который загружает троян при открытии браузера. Если загрузка прошла успешно, троян запускается после перезагрузки, а домашняя страница Internet Explorer устанавливается на пустую страницу . Троян выполняет основную цель Гусмана, краду пароли. ^[10]

Червь отправляет свой фирменный адрес электронной почты всем контактам в адресной книге жертвы. Чтобы предотвратить отправку нескольких писем одному человеку с каждого последующего запуска червя, для каждой записи адресной книги после отправки письма генерируется ключ реестра. Червь отправит письмо только в том случае, если ключ реестра отсутствует. Это также позволяет отправлять письма новым контактам, помещенным в адресную книгу. ILOVEYOU также имеет возможность распространяться по каналам Internet Relay Chat . ^[10]

Червь ищет подключенные диски в поисках файлов для изменения. Все найденные им файлы VBScript (.vbs, .vbe) перезаписываются кодом червя. Файлы с расширениями .jpg , .jpeg , .js , .jse, .css , .wsh , .sct, .doc и .hta заменяются копиями червя, имеющими то же базовое имя файла, но с добавлением расширения .vbs. Копии файлов .mp2 и .mp3 создаются аналогичным образом, но исходные файлы скрываются, а не удаляются. ^[10]

Обманные методы

Формат электронной почты считается одним из первых примеров вредоносного ПО, использующего социальную инженерию , ^[11] путем побуждения жертв открыть прикрепленный файл под предлогом того, что у них есть возлюбленный, который пытается с ними связаться. ^[12] Это усугублялось тем фактом, что электронные письма, казалось, приходили от близких контактов в результате использования червем списков контактов своей предыдущей жертвы. ^[13] Последующий успех червя привел к использованию социальной инженерии во многих современных атаках вредоносного ПО. ^[11] Вложение использовало функцию Microsoft Outlook , где отображалось только одно расширение файла . Поскольку имя файла анализировалось слева направо, что останавливалось после первого периода, для жертв вложение выглядело как неприметный файл .txt, неспособный содержать вредоносное ПО. Настоящее расширение червя .vbs было скрыто. ^[13] Де Гусман также утверждал, что ошибка в Windows 95 , когда код во вложениях электронной почты автоматически запускался при щелчке, способствовала успеху червя. ^[5]

Варианты

Тот факт, что червь был написан на VBScript, позволял пользователям изменять его. Пользователь мог легко изменить червя, чтобы заменить необходимые файлы и уничтожить систему, что позволило более чем 25 вариациям ILOVEYOU распространиться по Интернету, каждая из которых наносила разный ущерб. ^[14] Большинство вариаций были связаны с тем, какие расширения файлов были затронуты червем. Другие изменяли тему письма, чтобы нацелиться на определенную аудиторию, например, вариант « Cartolina » («открытка») на итальянском языке или «BabyPic» для взрослых. Некоторые другие только изменяли титры автора, которые изначально были включены в стандартную версию вируса, полностью удаляя их или ссылаясь на ложных авторов. ^[14] Другие перезаписывали файлы « EXE » и « COM », и компьютер пользователя после этого не загружался после перезагрузки. ^{[ требуется цитата ]}

Вот некоторые почтовые сообщения, отправленные ILOVEYOU:

• ПРЕДУПРЕЖДЕНИЕ О ВИРУСЕ!! ^[15]
• Важно! Читайте внимательно!! ^[15]

Распространение

Первоначально проектируя червя для работы только в Маниле , Де Гусман убрал это географическое ограничение из любопытства, что позволило червю распространиться по всему миру. Де Гусман не ожидал такого всемирного распространения. ^[5]

Червь возник в районе Пандакан в Маниле на Филиппинах 4 мая 2000 года ^[16] , затем он переместился на запад через корпоративные системы электронной почты, когда сотрудники начинали свой рабочий день в пятницу утром, — сначала в Гонконг , затем в Европу и, наконец, в Соединенные Штаты . ^{[17] [18]} Поскольку червь использовал списки рассылки в качестве источника своих целей, сообщения часто выглядели как приходящие от знакомых и поэтому часто считались «безопасными» их жертвами, что давало дополнительный стимул открывать их. Всего несколько пользователей на каждом сайте должны были получить доступ к вложению, чтобы сгенерировать миллионы дополнительных сообщений, которые парализовали почтовые системы и перезаписали миллионы файлов на компьютерах в каждой последующей сети . ^[19]

Влияние

По оценкам, вспышка нанесла ущерб в размере 5,5–8,7 млрд долларов США по всему миру ^{[20] [21] [ нужен лучший источник ]} и, по оценкам, обошлась в 10–15 млрд долларов США на удаление червя. ^{[22] [23]} В течение десяти дней было зарегистрировано более пятидесяти миллионов случаев заражения ^[24], и, по оценкам, пострадало 10% подключенных к Интернету компьютеров в мире. ^[22] Упомянутый ущерб в основном состоял из времени и усилий, потраченных на избавление от заражения и восстановление файлов из резервных копий. В то время это была одна из самых разрушительных компьютерных катастроф в мире. ^{[25] [26] [27]}

Европа

В Соединенном Королевстве червь достиг серверов электронной почты Палаты общин 4 мая. ^[7] В ответ на это серверы были отключены на два часа. ^[17] Червь поразил банковскую систему Бельгии . ^[28]

Соединенные Штаты

Червь затронул большинство федеральных правительственных учреждений и вызвал сбои в работе многих, включая Министерство юстиции , Министерство труда и Управление социального обеспечения . ^[28] Операции Министерства обороны были значительно затруднены, ^[28] кроме того, пострадало Центральное разведывательное управление ^[17] , а армия США имела 2258 зараженных рабочих станций , восстановление которых обошлось примерно в 79 200 долларов США. ^[29] Управление по охране здоровья ветеранов получило 7 000 000 писем ILOVEYOU во время вспышки, что потребовало 240 человеко-часов работы для решения возникших проблем. ^[28] Файлы в Национальном управлении по аэронавтике и исследованию космического пространства были повреждены, а в некоторых случаях их невозможно было восстановить из резервных копий . ^[28]

Расследование

5 мая 2000 года де Гусман и другой молодой филиппинский программист по имени Реонель Рамонес стали объектами уголовного расследования, проводимого агентами Национального бюро расследований Филиппин (NBI). ^[30] Местный интернет-провайдер Sky Internet сообщил о получении многочисленных контактов от европейских пользователей компьютеров, утверждающих, что вредоносное ПО (в форме червя «ILOVEYOU») было отправлено через серверы интернет-провайдера. ^[31]

Де Гусман попытался скрыть улики, вынеся свой компьютер из квартиры, но случайно оставил несколько дисков, содержащих червя, а также информацию, указывающую на возможного сообщника. ^[5]

После слежки и расследования Дарвина Бавасанты из Sky Internet, NBI отследило часто появляющийся номер телефона ^{[ требуется разъяснение ]} до квартиры Ramones в Маниле. Его дом был обыскан, а Ramones был арестован и помещен под следствие Министерством юстиции (DOJ). Де Гусману также были предъявлены обвинения заочно . ^{[ требуется цитата ]}

На тот момент NBI не было уверено, какое тяжкое преступление или преступление будет применяться. ^[30] Было предложено обвинить их в нарушении Закона Республики 8484 (Закон о регулировании устройств доступа), закона, разработанного в основном для наказания за мошенничество с кредитными картами , поскольку оба использовали предоплаченные (если не украденные) интернет-карты для покупки доступа к интернет-провайдерам. Другая идея заключалась в том, что их можно было бы обвинить в злонамеренном вредительстве , тяжком преступлении (согласно Филиппинскому пересмотренному уголовному кодексу 1932 года), связанном с повреждением имущества. Недостатком здесь было то, что одним из его элементов, помимо повреждения имущества, было намерение нанести ущерб, и де Гусман утверждал во время расследований в связи с заключением под стражу, что он мог непреднамеренно выпустить червя. ^[4] На пресс-конференции, организованной его адвокатом 11 мая, он сказал: «Это возможно», когда его спросили, мог ли он это сделать. ^[5]

Чтобы продемонстрировать свои намерения, НБР провело расследование в отношении колледжа AMA Computer College , который де Гусман бросил в самом конце последнего года обучения. ^[30]

Последствия

Поскольку в то время на Филиппинах не было законов, запрещающих написание вредоносных программ, и Рамонес, и де Гусман были освобождены, а все обвинения были сняты государственными прокурорами. ^[32] Чтобы устранить этот законодательный пробел, ^[30] Филиппинский конгресс принял Республиканский закон № 8792, ^[33] также известный как Закон об электронной коммерции, в июле 2000 года, через несколько месяцев после вспышки червя. ^[6]

В 2012 году Смитсоновский институт назвал ILOVEYOU одним из десяти самых опасных компьютерных вирусов в истории. ^[12]

Де Гусман не хотел общественного внимания. Его последнее известное публичное появление было на пресс-конференции 2000 года, где он скрыл свое лицо и позволил своему адвокату ответить на большинство вопросов; его местонахождение оставалось неизвестным в течение 20 лет после этого. В мае 2020 года журналист-расследователь Джефф Уайт сообщил, что во время исследования своей книги о киберпреступности Crime Dot Com он нашел де Гусмана работающим в мастерской по ремонту мобильных телефонов в Маниле. Де Гусман признался в создании и распространении вируса. ^[34] Он утверждал, что изначально разработал его для кражи паролей доступа в Интернет, поскольку не мог позволить себе платить за доступ. Он также заявил, что создал его в одиночку, оправдав двух других, обвиняемых в соавторстве с червем. ^{[35] [36]}

Эти события вдохновили группу Pet Shop Boys на написание песни «E-mail» из альбома Release , вошедшего в десятку лучших в Великобритании в 2002 году . Текст песни повествует о человеческих желаниях, которые привели к массовому уничтожению этой компьютерной инфекцией. ^{[ необходима цитата ]}

Смотрите также

• Рождественская елка EXEC
• Код Красный червь
• компьютерный вирус
• НоваяЛюбовь
• Нимда
• Хронология известных компьютерных вирусов и червей

Ссылки

1. Poulsen, Kevin (3 мая 2010 г.). «4 мая 2000 г.: испорченная „любовь“ заражает компьютеры». Wired . ISSN  1059-1028 . Получено 28 июля 2021 г. .
2. «Что такое червь ILOVEYOU, что он делает и как его обнаружить и удалить?». University Information Technology Services . 18 января 2018 г. Получено 28 июля 2021 г.
3. Mezquita, Ty (3 февраля 2020 г.). "Вирус ILOVEYOU". CyberHoot . Получено 28 июля 2021 г. .
4. Landler, Mark (21 октября 2000 г.). «Филиппинец, связанный с «Love Bug», рассказывает о своей лицензии на хакерство». The New York Times . Получено 5 мая 2010 г.
5. Уайт, Джефф (12 сентября 2020 г.). «20-летняя охота за человеком, стоящим за вирусом Love Bug». Wired . ISSN  1059-1028 . Получено 15 сентября 2020 г. .
6. Caña, Paul John (4 мая 2020 г.). «Филиппинский создатель вируса «Я люблю тебя» просто сделал это, чтобы получить бесплатный Интернет». Esquire Philippines . Архивировано из оригинала 7 июня 2020 г. . Получено 19 января 2021 г.
7. Гриффитс, Джеймс (2 мая 2020 г.). «Как плохо закодированный компьютерный вирус нанес ущерб на миллиарды долларов | CNN Business». CNN . Получено 29 июня 2024 г. .
8. «Филиппины сняли обвинения в деле о вирусе 'ILOVEYOU'». CNN . 21 августа 2000 г. Получено 1 июля 2024 г.
9. Мик, Джеймс (5 мая 2000 г.). «Вирус любовного жука создает всемирный хаос». The Guardian . ISSN  0261-3077 . Получено 10 июня 2024 г.
10. Бишоп, Мэтт. (2000). Анализ червя ILOVEYOU.
11. Speed, Richard (5 мая 2020 г.). «Прошло 20 лет с тех пор, как киберпреступники осознали важность социальной инженерии с помощью интригующего маленького электронного письма под названием „ILOVEYOU“». The Register . Получено 10 июня 2024 г. .
12. Poulsen, Kevin (3 мая 2010 г.). «Десять самых разрушительных компьютерных вирусов». Smithsonian Magazine . Получено 10 июня 2024 г. .
13. Winder, Davey (4 мая 2020 г.). «Этот 20-летний вирус заразил 50 миллионов компьютеров Windows за 10 дней: почему пандемия ILOVEYOU имеет значение в 2020 году». Forbes . Получено 10 июня 2024 г.
14. "I LOVE YOU Virus Help". Computer Hope . Получено 11 февраля 2013 г.
15. "Symantec обнаруживает все известные новые варианты червя VBS.LoveLetter.A". Symantec. 6 мая 2000 г. Архивировано из оригинала 16 марта 2014 г. Получено 8 февраля 2013 г.
16. «Нет оправдания вирусным потерям, предупреждает MessageLabs». MessageLabs. 10 мая 2000 г. Архивировано из оригинала 14 декабря 2000 г.
17. Кейн, Маргарет (3 мая 2000 г.). «Почтовый червь 'ILOVEYOU' проникает в ПК». ZDNET . Получено 29 июня 2024 г. .
18. "Хакер "Love bug" - житель Пандакана, 23 года". The Philippine Star .
19. Мерш, Эми; Нилис, Эллен. «6 распространенных типов вредоносных программ». blog.totalprosource.com . Получено 28 июля 2021 г. .
20. Гарза, Джордж. "10 самых страшных компьютерных вирусов". Catalogs.com . Получено 26 мая 2008 г.
21. "Ежик ангельский и немецкий" (PDF) . Газета Образования (на польском языке). Апрель 2008 г. Архивировано из оригинала (PDF) 9 декабря 2008 г.
22. Winder, Davey (4 мая 2020 г.). «Этот 20-летний вирус заразил 50 миллионов компьютеров Windows за 10 дней: почему пандемия ILOVEYOU имеет значение в 2020 году». Forbes . Получено 22 февраля 2021 г.
23. Бакленд, Джейсон. «Ошибка «любви» — 10 худших киберпреступлений десятилетия». tech.ca.msn.com . Архивировано из оригинала 27 октября 2011 г.
24. Баркер, Гэри (14 мая 2000 г.). «Microsoft, возможно, стала целью Lovebug». The Age .
25. "5 самых опасных компьютерных вирусов всех времен". in.news.yahoo.com . Получено 28 июля 2021 г. .
26. "10 самых смертоносных компьютерных вирусов всех времен". Hongkiat . 10 июля 2021 г. Получено 28 июля 2021 г.
27. «10 самых разрушительных компьютерных вирусов всех времен | Advanced Computer Consulting». www.advancedcpc.com . 24 сентября 2018 г. . Получено 28 июля 2021 г. .
28. Брок-младший, Джек (18 мая 2000 г.). Защита критической инфраструктуры: компьютерный вирус «ILOVEYOU» подчеркивает необходимость улучшения возможностей оповещения и координации (PDF) (Отчет) . Получено 30 июня 2024 г.
29. Вирус "ILOVEYOU": отчет об извлеченных уроках (PDF) (Отчет). Армия США . 29 апреля 2003 г. Получено 30 июня 2024 г.
30. Gana, Severino H. Jr. «Преследование киберпреступлений посредством соответствующего киберзаконодательства в Республике Филиппины». www.acpf.org . Архивировано из оригинала 6 февраля 2008 г.
31. "ILOVEYOU: Неправильный вид LoveLetter". WeLiveSecurity . 14 февраля 2017 г. Получено 28 июля 2021 г.
32. Арнольд, Уэйн (22 августа 2000 г.). «Технологии; Филиппины снимут обвинения в распространении вирусов в электронной почте». The New York Times . Получено 5 мая 2010 г.
33. «Закон Республики № 8792 — Закон, предусматривающий признание и использование электронных коммерческих и некоммерческих транзакций и документов, наказания за их незаконное использование и в других целях». 1 августа 2001 г. Получено 5 декабря 2010 г. — через ChanRobles.com.
34. Tyagi, Sachin (6 августа 2022 г.). «Что такое первый компьютерный вирус на Филиппинах? (2022 г.)» . Получено 16 августа 2022 г.
35. Уайт, Джефф (2 мая 2020 г.). «Создатель Love Bug был найден в ремонтной мастерской в ​​Маниле». BBC News.
36. Уайт, Джефф (21 апреля 2020 г.). «Раскрыто: человек, стоящий за первой крупной пандемией компьютерного вируса». Computer Weekly .

Внешние ссылки

• Любовный жук - ретроспектива
• Отчет об извлеченных уроках, связанных с вирусом ILOVEYOU, Командование армейских сил (архив)
• Radsoft: Обзор ILOVEYOU
• «Никаких «извинений» от автора Love Bug» в The Register
• Консультативный отчет CERT CA-2000-04 «Червь любовных писем» (архив)