I Love You

I Love You
AliasyILOVEYOU
VBS/Loveletter
Love Bug
TypPočítačový červ
Datum vypuštění2. května 2000
Počet infekcívíce než 45 milionů
AutořiIrene de Guzman
Onel de Guzman
Reomel Lamores
Popis činnosti
Napadá pouze operační systémy rodiny Microsoft Windows. Po spuštění infikované přílohy e-mailu se rozesílá na všechny e-mailové adresy uložené v adresáři aplikace Microsoft Outlook pomocí uživatelského účtu oběti, maže systémové soubory, upravuje registry Windows a přepisuje určité typy souborů.
Způsobené škody
Infekce asi 10 % všech počítačů připojených k internetu a celkové finanční škody asi 5,5 miliardy amerických dolarů.

Červ I Love You, označovaný také jako ILOVEYOU, VBS/Loveletter nebo Love Bug, je počítačový červ vytvořený v jazyce VBScript. Rozsah a následky infekce tímto virem byly tak rozsáhlé, že virus sám byl označován jako nejničivější na světě. Agresivnějším byl v květnu 2017 prohlášen virus WannaCry.[1] První infekce tímto virem byla zaznamenána 4. května 2000 na Filipínách.

Architektura

[editovat | editovat zdroj]

Červ byl vytvořen v jazyce VBScript. Z tohoto důvodu byly tímto virem ohroženy pouze počítače s operačním systémem z rodiny Microsoft Windows. Ke svému přenosu využíval celosvětové sítě internet a k jeho spuštění bylo třeba zásahu uživatele, který musel spustit přílohu infikovaného e-mailu.

Mechanismus šíření

[editovat | editovat zdroj]

Po spuštění se červ rozeslal na všechny adresy, které měla oběť uložené v adresáři aplikace Microsoft Outlook. Tím bylo zabezpečeno rychlé a neustávající šíření viru. Při tomto rozesílání kopií rovněž přikládal spustitelný soubor, nazývaný WIN-BUGSFIX.exe nebo Microsoftv25.exe, který běžel na pozadí a vyhledával v počítači čísla a hesla kreditních karet a zasílal je e-mailem zpět útočníkovi. Jako předmět infikovaného e-mailu byl uveden text ILOVEYOU (odtud pochází jeho název). Ke zprávě byl rovněž přiložen soubor LOVE-LETTER-FOR-YOU.TXT.vbs a případně další výše zmíněné spustitelné soubory. Ke spuštění přílohy bylo zapotřebí zásahu uživatele. Červ rovněž vytvářel nové vstupy v systémových registrech Windows a zajišťoval si tak opakované spouštění se startem operačního systému.

Destruktivní činnost

[editovat | editovat zdroj]

Po spuštění škodlivého kódu došlo kromě rozeslání a úprav registrů také k provedení velkého počtu změn systémových souborů a odstranění specifických souborů: obsah souborů s příponou .jpeg, .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .doc nebo .hta nahradil škodlivým kódem a k původnímu názvu přidal příponu .vbs. Soubory s příponou .mp3 nebo .mp2 nastavoval navíc jako skryté.

Rozšíření

[editovat | editovat zdroj]

Infekce propukla 4. května 2000 na Filipínách, odkud se rozšířila do Hongkongu, poté do Evropy a nakonec zasáhla Spojené státy americké. V součtu infikovala 10% všech počítačů připojených k celosvětové síti internet. Díky obrovskému množství rozesílaných e-mailových zpráv kolabovaly některé e-mailové servery; některé vládní instituce, mimo jiné i Pentagon, CIA a britský parlament, musely své servery odstavit, aby odstranily červ ze svých počítačů.

Tak neobvyklé rozšíření viru bylo možné díky několika následujícím faktům:

  • používání dvojité přípony souborů viru: v operačních systémech rodiny Windows je ve výchozím nastavení povoleno skrývání přípon známých typů – soubor s příponou .txt.vbs se tak jevil jako textový soubor, nikoli jako potenciálně škodlivý spustitelný kód
  • pojmenování souborů a předmětu zprávy: názvy ILOVEYOU a LOVE-LETTER-FOR-YOU měly vyprovokovat uživatele k otevření souboru a spuštění škodlivého kódu
  • rozesílání kopií viru pomocí e-mailové adresy oběti: kopie viru byly rozesílány pomocí e-mailové adresy oběti na seznam adres, které měla k dispozici, takové zprávy proto působily důvěryhodně, neboť byly zaslány z e-mailové adresy důvěryhodné osoby
  • neexistující ochrana e-mailových klientů před spustitelnými soubory: tehdejší verze e-mailových klientů neimplementovaly žádnou ochranu proti spustitelným souborům typu VBScript, neboť nebyly považovány za obecně nebezpečné.

Detekce a obrana

[editovat | editovat zdroj]

Narinnat Suksawat, tehdy 25letý softwarový inženýr z Thajska, byl prvním, kdo vydal program, který byl schopen odstranit soubory viru z počítače a obnovit původní systémové soubory, takže systém opět fungoval normálně. Tento program, nazvaný Rational Killer, byl uvolněn veřejnosti 5. května 2000, tedy již 24 hodin po propuknutí nákazy. O dva měsíce později mu bylo nabídnuto místo konzultanta ve společnosti Sun Microsystems. Společnost Kenyan, výrobce antivirového programu Skeptic, vytvořila e-mailovou schránku, na kterou byly zasílány e-mailové zprávy s infikovanými přílohami, které viry šířily. Díky napojení na program Skeptic tak byli všichni zákazníci využívající produkt této společnosti automaticky chráněni. Společnost si tak získala značný zájem předního britského tisku, několikrát se dokonce objevila na BBC TV. První e-mailová zpráva infikovaná virem I Love You byla jejich antivirovým programem zachycena 4. května 2000 v 00:43:26 a pocházela z e-mailové adresy na Filipínách. Je pravděpodobné, že se jednalo o výsledek jednoho z prvních replikačních cyklů viru.

Varianty infiltrace

[editovat | editovat zdroj]
Varianty infiltrace virem I Love You.
Předmět e-mailu Příloha Text těla
ILOVEYOU LOVE-LETTER-FOR-YOU.TXT.vbs Kindly check the attached LOVE LETTER coming from me.
Joke Very funny.vbs <prázdné>
Mother Day Order Confirmation mothers day.vbs We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email.
Dangerous Virus Warning virus_warning.jpg.vbs There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.
Virus ALERT!!! Important.TXT.vbs a long message regarding VBS.love letter.A
How to protect yourself from the IL0VEYOU bug! Virus-Protection-Instructions.vbs Here's the easy way to fix the love virus.
I Cant Believe This!!! Kill EmAll.TXT.VBS I Cant Believe I have Just received This Hate Email .. Take A Look!
Thank You For Flying With Arab Airlines Arabian.TXT.vbs Thank You For Flying With Arab Airlines
Variant Test IMPORTANT.TXT.vbs This is a variant to the vbs virus.
Yeah, Yeah another time to DEATH… Vir-Killer.vbs This is the Killer for VBS.LOVE-LETTER.WORM.
LOOK! LOOK.vbs hehe…check this out.
Bewerbung Kreolina BEWERBUNG.TXT.vbs Sehr geehrte Damien und Herr en!

Celkové škody, které virus způsobil, byly vyčísleny na 5.5 miliardy amerických dolarů. Největší podíl na tom měl právě fakt, že bylo nutné odpojit většinu serverů, aby bylo umožněno odstranění jednotlivých instancí viru z počítačů.

Právní dohra

[editovat | editovat zdroj]

Údajnými autory viru byli sourozenci Onel de Guzman, Irene de Guzman a její přítel Reomel Lamores, který byl v květnu 2000 krátce zadržen v souvislosti s propuknutím infekce. Popřel spoluúčast na tvorbě viru, později řekl, že rozšíření viru byla nehoda. Protože v té době nebyly na Filipínách ustanoveny zákony proti tvorbě malware, byl propuštěn a v říjnu roku 2000 byly staženy všechny obvinění proti Irene de Guzman, jejímu příteli a majiteli počítače, který byl zdrojem infekce. Obvinění ze zneužívání hesel kreditních karet a nelegálních bankovních převodů proti Irene de Guzman však stažena nebyla.

V tomto článku byl použit překlad textu z článku ILOVEYOU na anglické Wikipedii.

  1. Cyber-attack: Europol says it was unprecedented in scale. BBC News. 2017-05-13. Dostupné online [cit. 2017-06-06]. (anglicky)