Cesko.wiki I Love You
Author
Albert FloresČerv I Love You, označovaný také jako ILOVEYOU, VBS/Loveletter nebo Love Bug, je počítačový červ vytvořený v jazyce VBScript. Rozsah a následky infekce tímto virem byly tak rozsáhlé, že virus sám byl označován jako nejničivější na světě. Agresivnějším byl v květnu 2017 prohlášen virus WannaCry. První infekce tímto virem byla zaznamenána 4. května 2000 na Filipínách.
Architektura
Červ byl vytvořen v jazyce VBScript. Z tohoto důvodu byly tímto virem ohroženy pouze počítače s operačním systémem z rodiny Microsoft Windows. +more Ke svému přenosu využíval celosvětové sítě internet a k jeho spuštění bylo třeba zásahu uživatele, který musel spustit přílohu infikovaného e-mailu.
Mechanismus šíření
Po spuštění se červ rozeslal na všechny adresy, které měla oběť uložené v adresáři aplikace Microsoft Outlook. Tím bylo zabezpečeno rychlé a neustávající šíření viru. +more Při tomto rozesílání kopií rovněž přikládal spustitelný soubor, nazývaný WIN-BUGSFIX. exe nebo Microsoftv25. exe, který běžel na pozadí a vyhledával v počítači čísla a hesla kreditních karet a zasílal je e-mailem zpět útočníkovi. Jako předmět infikovaného e-mailu byl uveden text ILOVEYOU (odtud pochází jeho název). Ke zprávě byl rovněž přiložen soubor LOVE-LETTER-FOR-YOU. TXT. vbs a případně další výše zmíněné spustitelné soubory. Ke spuštění přílohy bylo zapotřebí zásahu uživatele. Červ rovněž vytvářel nové vstupy v systémových registrech Windows a zajišťoval si tak opakované spouštění se startem operačního systému.
Destruktivní činnost
Po spuštění škodlivého kódu došlo kromě rozeslání a úprav registrů také k provedení velkého počtu změn systémových souborů a odstranění specifických souborů: obsah souborů s příponou . jpeg, . +morevbs, . vbe, . js, . jse, . css, . wsh, . sct, . doc nebo . hta nahradil škodlivým kódem a k původnímu názvu přidal příponu . vbs. Soubory s příponou . mp3 nebo . mp2 nastavoval navíc jako skryté.
Rozšíření
Infekce propukla 4. května 2000 na Filipínách, odkud se rozšířila do Hongkongu, poté do Evropy a nakonec zasáhla Spojené státy americké. +more V součtu infikovala 10% všech počítačů připojených k celosvětové síti internet. Díky obrovskému množství rozesílaných e-mailových zpráv kolabovaly některé e-mailové servery; některé vládní instituce, mimo jiné i Pentagon, CIA a britský parlament, musely své servery odstavit, aby odstranily červ ze svých počítačů.
Tak neobvyklé rozšíření viru bylo možné díky několika následujícím faktům: * používání dvojité přípony souborů viru: v operačních systémech rodiny Windows je ve výchozím nastavení povoleno skrývání přípon známých typů - soubor s příponou . txt. +morevbs se tak jevil jako textový soubor, nikoli jako potenciálně škodlivý spustitelný kód * pojmenování souborů a předmětu zprávy: názvy ILOVEYOU a LOVE-LETTER-FOR-YOU měly vyprovokovat uživatele k otevření souboru a spuštění škodlivého kódu * rozesílání kopií viru pomocí e-mailové adresy oběti: kopie viru byly rozesílány pomocí e-mailové adresy oběti na seznam adres, které měla k dispozici, takové zprávy proto působily důvěryhodně, neboť byly zaslány z e-mailové adresy důvěryhodné osoby * neexistující ochrana e-mailových klientů před spustitelnými soubory: tehdejší verze e-mailových klientů neimplementovaly žádnou ochranu proti spustitelným souborům typu VBScript, neboť nebyly považovány za obecně nebezpečné.
Detekce a obrana
Narinnat Suksawat, tehdy 25letý softwarový inženýr z Thajska, byl prvním, kdo vydal program, který byl schopen odstranit soubory viru z počítače a obnovit původní systémové soubory, takže systém opět fungoval normálně. Tento program, nazvaný Rational Killer, byl uvolněn veřejnosti +more_květen'>5. května 2000, tedy již 24 hodin po propuknutí nákazy. O dva měsíce později mu bylo nabídnuto místo konzultanta ve společnosti Sun Microsystems. Společnost Kenyan, výrobce antivirového programu Skeptic, vytvořila e-mailovou schránku, na kterou byly zasílány e-mailové zprávy s infikovanými přílohami, které viry šířily. Díky napojení na program Skeptic tak byli všichni zákazníci využívající produkt této společnosti automaticky chráněni. Společnost si tak získala značný zájem předního britského tisku, několikrát se dokonce objevila na BBC TV. První e-mailová zpráva infikovaná virem I Love You byla jejich antivirovým programem zachycena 4. května 2000 v 00:43:26 a pocházela z e-mailové adresy na Filipínách. Je pravděpodobné, že se jednalo o výsledek jednoho z prvních replikačních cyklů viru.
Varianty infiltrace
| ILOVEYOU | LOVE-LETTER-FOR-YOU. TXT. +morevbs | Kindly check the attached LOVE LETTER coming from me. | |
|---|---|---|---|
| Joke | Very funny. vbs | ||
| Mother Day Order Confirmation | mothers day. vbs | We have proceeded to charge your credit card for the amount of $326. 92 for the mothers day diamond special. We have attached a detailed invoice to this email. | |
| Dangerous Virus Warning | virus_warning. jpg. vbs | There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it. | |
| Virus ALERT | Important. TXT. vbs | a long message regarding VBS. love letter. A | |
| How to protect yourself from the IL0VEYOU bug. | Virus-Protection-Instructions. vbs | Here's the easy way to fix the love virus. | |
| I Cant Believe This | Kill EmAll. TXT. VBS | I Cant Believe I have Just received This Hate Email . Take A Look. | |
| Thank You For Flying With Arab Airlines | Arabian. TXT. vbs | Thank You For Flying With Arab Airlines | |
| Variant Test | IMPORTANT. TXT. vbs | This is a variant to the vbs virus. | |
| Yeah, Yeah another time to DEATH… | Vir-Killer. vbs | This is the Killer for VBS. LOVE-LETTER. WORM. | |
| LOOK. | LOOK. vbs | hehe…check this out. | |
| Bewerbung Kreolina | BEWERBUNG. TXT. vbs | Sehr geehrte Damien und Herr en. |
Následky
Celkové škody, které virus způsobil, byly vyčísleny na 5. 5 miliardy amerických dolarů. +more Největší podíl na tom měl právě fakt, že bylo nutné odpojit většinu serverů, aby bylo umožněno odstranění jednotlivých instancí viru z počítačů.
Právní dohra
Údajnými autory viru byli sourozenci Onel de Guzman, Irene de Guzman a přítel Reomel Lamores , který byl v květnu 2000 krátce zadržen v souvislosti s propuknutím infekce. Popřel spoluúčast na tvorbě viru, později řekl, že rozšíření viru byla nehoda. +more Protože v té době nebyly na Filipínách ustanoveny zákony proti tvorbě malware, byl propuštěn a v říjnu roku 2000 byly staženy všechny obvinění proti Irene de Guzman, jejímu příteli a majiteli počítače, který byl zdrojem infekce. Obvinění ze zneužívání hesel kreditních karet a nelegálních bankovních převodů proti Irene de Guzman však stažena nebyla. Od data 30. 5. 2017 dále ve vývoji díky Onie Volkme a Arman Tair Saiti ze skupiny GRAMMER Soft Group.