код вируса i love you
Код вируса i love you
ILOVEYOU, sometimes referred to as Love Bug or Love Letter, was a computer worm that attacked tens of millions of Windows personal computers on and after 5 May 2000 local time in the Philippines when it started spreading as an email message with the subject line «ILOVEYOU» and the attachment «LOVE-LETTER-FOR-YOU.txt.vbs».
This is a formatted version of the ILOVEYOU worm also known as Love Letter. It includes comments which explains the routines that are used by the worm to infect and spread itself.
The worm is distributed primarily through email, most prominently Microsoft Outlook at the time. It does so by sending an email to each of the victim’s contacts, listed in their Address Book.
It also makes it so, after having executed the script the first time, will execute on each startup of the computer, making it very difficult to stop.
It relies on the fact that Windows will automatically execute any Visual Basic Script files, when opened from the file explorer or from Outlook, making it trivial for a victim to accidentally execute it.
This program and its source files are only uploaded for educational purposes. Do not execute this program if you do not know what it does and what the risks are.
The original source code was obtained from Cexx.org and formatted and commented by me.
About
Formatted and commented source code of ILOVEYOU/Love Letter
СОДЕРЖАНИЕ
Творчество
Описание
Распространять
Влияние
Архитектура
Сценарий ILOVEYOU (вложение) был написан на языке Microsoft Visual Basic Scripting (VBS), который запускается в Microsoft Outlook и включен по умолчанию. Сценарий добавляет данные реестра Windows для автоматического запуска при загрузке системы.
Червь распространяется, отправляя по одной копии полезной нагрузки каждой записи в адресной книге Microsoft Outlook ( адресная книга Windows). Он также загружает троян Barok, переименованный по этому случаю как «WIN-BUGSFIX.EXE».
Тот факт, что червь был написан на VBS, давал пользователям возможность изменить его. Пользователь мог легко изменить червя, чтобы заменить важные файлы в системе и уничтожить его. Это позволило более чем 25 разновидностям ILOVEYOU распространиться по Интернету, причем каждая из них наносила разный ущерб. Большинство вариантов связано с тем, какие расширения файлов были затронуты червем. Другие просто изменили тему письма, чтобы сделать его ориентированным на определенную аудиторию, например, вариант «Cartolina» на итальянском языке или вариант «BabyPic» для взрослых. Некоторые другие только изменили сведения об авторе, которые изначально были включены в стандартную версию вируса, полностью удалив их или ссылаясь на ложных авторов.
Некоторые почтовые сообщения, отправленные ILOVEYOU:
Расследование
5 мая 2000 года двое молодых филиппинских программистов по имени Реонел Рамонес и Онель де Гусман стали объектами уголовного расследования агентов Национального бюро расследований Филиппин (NBI). Местный интернет-провайдер Sky Internet сообщил о получении многочисленных контактов от европейских пользователей компьютеров, утверждающих, что вредоносное ПО (в форме червя «ILOVEYOU») было отправлено через серверы провайдера.
Де Гусман попытался скрыть улики, вынув свой компьютер из своей квартиры, но он случайно оставил несколько дисков, содержащих червя, а также информацию о том, что Майкл Буэн может быть соучастником заговора.
Последствия
Поскольку в то время на Филиппинах не было законов против написания вредоносных программ, и Рамонес, и де Гусман были освобождены, и все обвинения были сняты государственной прокуратурой. Чтобы устранить этот законодательный недостаток, Конгресс Филиппин принял Республиканский закон № 8792, также известный как Закон об электронной торговле, в июле 2000 года, через несколько месяцев после вспышки червя.
В 2012 году Смитсоновский институт назвал ILOVEYOU десятым по величине вирулентным компьютерным вирусом в истории.
«Я понял, что многие хотят любви»: журналисты нашли создателя червя ILOVEYOU
Спустя 20 лет после того, как в мире произошла первая крупная атака компьютерного вируса, журналисты нашли его создателя и пообщались с ним. Речь идет о филиппинце Онеле де Гузмане, который создал червя ILOVEYOU (Love Bug) для кражи паролей.
44-летний хакер признал вину в распространении вируса, но отметил, что он не планировал совершать глобальную атаку. Де Гузман выразил сожаление из-за нанесенного им ущерба. «Я не ожидал, что вирус попадет в США и Европу. Я был удивлен», — заявил он в интервью для Crime Dot Com в рамках подготовки книги о киберпреступности.
Распространение ILOVEYOU началась 4 мая 2000 года. Жертвы получали вложение в электронном письме, которое называлось «LOVE-LETTER-FOR-YOU». Оно содержало вредоносный код, который перезаписывал файлы, крал пароли и автоматически отправлял свои копии всем контактам в адресной книге жертвы в Microsoft Outlook.
Уже спустя сутки червь заразил 3 миллиона машин. Атака привела к перегрузке систем электронной почты организаций, и некоторые ИТ-менеджеры отключили часть инфраструктуры, чтобы предотвратить последующее заражение. Ущерб от действий хакера оценивали в миллиарды фунтов или десятки миллиардов рублей. Даже британскому парламенту пришлось на несколько часов закрыть свою почтовую сеть. В числе пострадавших, по сообщениям источников, оказался и Пентагон. Вирус вошел в Книгу рекордов Гиннеса как самый разрушительный.
Уже позднее следователи установили связь вируса с адресом электронной почты, зарегистрированной в квартире в Маниле, столице Филиппин. Онель де Гузман, тогда студент информатики в компьютерном колледже AMA, был братом хозяина квартиры. Он состоял в подпольной хакерской группе Grammersoft. Де Гузман стал главным подозреваемым в полицейском расследовании.
На пресс-конференции, которая прошла 11 мая 2000 года, хакер отметил, что он мог распространить вирус случайно. Под подозрение также попадал однокурсник филиппинца Майкл Буэн. В то время на Филиппинах не было закона, касающегося взлома, и обоих не стали преследовать.
Журналисты решили разыскать де Гузмана спустя 20 лет после описанных событий. Из разных источников поступала информация, что он мог эмигрировать в Германию, Австрию или США, а также начать работать на Microsoft. Однако на деле оказалось, что бывший взломщик теперь управляет мастерской по ремонту мобильных телефонов в районе Квиапо в Маниле. Это удалось выяснить благодаря местному нелегальному форуму.
Приехав на место, журналисты увидели, что рынок, где, предположительно, находится мастерская, просто огромен. Тогда они написали имя Онеля де Гузмана на листе бумаги и показали его случайным продавцам в надежде, что кто-нибудь узнает мужчину. Наконец один из них сообщил, что де Гузман работает уже в другой мастерской по ремонту телефонов в торговом центре Манилы.
После нескольких часов блуждания по торговому центру с бумажкой с именем де Гузмана журналист нашел небольшой киоск в глубине здания, и, наконец, встретился с хакером.
Мужчина в разговоре признался, что действительно создал ILOVEYOU, который, по его словам, был обновленной версией более раннего вируса для кражи паролей доступа в Интернет. В эпоху коммутируемого Интернета такие пароли были необходимы, чтобы пользоваться сетью бесплатно, а де Гузман не мог позволить себе заплатить за доступ.
По словам взломщика, он рассылал вирус только пользователям из Филиппин, с которыми общался в чатах.
Однако весной 2000 года де Гузман доработал код, добавив в него функцию автоматического распространения, которая отправляла копии вируса контактам Outlook, используя уязвимость в ОС Microsoft Windows 95. Он также придумал привлекательное название для вложения электронной почты, чтобы люди открывали его. «Я понял, что многие хотят любви, поэтому я так и назвал вложение», — пояснил хакер.
Де Гузман утверждает, что сначала он отправил вирус кому-то в Сингапуре, а затем пошел выпить с другом. Впервые он узнал о происходящем глобальном хаосе от матери, которая сказала ему, что полиция охотится на хакера в Маниле. Она же и спрятала компьютерное оборудование сына.
Де Гузман отметил, что Буэн не имеет ничего общего с ILOVEYOU, и что он был единственным создателем червя.
После того, как личность хакера была раскрыта, он так и не вернулся в колледж. Де Гузман рассказал, что его друзья до сих пор натыкаются на его фото в Интернете в связи с глобальной атакой, и присылают снимки ему. Взломщик заключил, что он стыдится того, что сделал.
Вирус «Я тебя люблю» мгновенно сожрал мой жесткий диск и антивирус не помог (((. Я не один такой «умный»?)))
Согласно данным компании F-Secure, вирус, который распространяется через электронные почтовые сообщения, содержащие в поле «Тема» письма запись «I Love You» или «Love Letter», впервые появился 4 мая в Азии. Вероятным источником его происхождения являются Филиппины.
По мнению экспертов, вирус I Love You может принести много больше неприятностей, чем печально известная Melissa.
По мнению Мико Хиппонена (Mikko Hypponen), руководителя исследовательской группы F-Secure, за пять последних лет еще не было вируса, столь быстро и глобально распространявшегося бы по миру: «За четыре часа со времени первого тревожного сообщения из Норвегии, поступившего в 9 утра по Гринвичу, в F-Secure уже есть данные о вирусе из более 20 стран».
Вирус распространяется как присоединенный файл (аттачмент) к электронным почтовым сообщениям под именем «Love-Letter-For-You» и поражает пользователей популярной почтовой программы Microsoft Outlook. I Love You «отправляет себя» всем респондентам из адресной книги жертвы.
Согласно Хиппонену, наибольшей опасности подвержены издательства и средства массовой информации, включая радиостанции, журналы, рекламные агенства и, в частности, те из них, кто владеет большими архивами графических и музыкальных файлов: «Большие издательства, в которые сегодня проник вирус, полностью потеряли свои фотоархивы. Это связано с тем, что I Love You удаляет определенные типы файлов, и апгрейд антивирусной базы данных позволяет удалить вирус, но не может остановить уже начавшийся процесс его разрушительного действия. Если у вас нет резервной копии файлов вне зараженной машины, считайте, что вы все потеряли».
Уже есть информация, что почтовые сообщения с I Love You были получены в Пентагоне, Федеральном Резервном Банке, Министерстве обороны США; ФБР начало расследование причин и источников распространения вируса.
При первом запуске вируса он копирует себя в следующие директории:
WINDOWS\SYSTEM\MSKERNEL32.VBS
WINDOWS\WIN32DLL.VBS
WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS
и добавляет следующие регистрационные ключи:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MSKernel32=WINDOWS\SYSTEM\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices\Win32DLL=WINDOWS\Win32DLL.vbs
который автоматически запустит программу для кражи паролей при включении ОС. При этом троянец копирует себя в
и заменяет соответствующий ключ Реестра на
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
masterok
Мастерок.жж.рф
Хочу все знать
Весной 2000 года студент филиппинского компьютерно-технологического университета (AMA University) Онель де Гусман (Onel de Guzman) готовился защищать дипломную работу
Будучи лидером «хакерской группы» GRAMMERSoft, сформированной из студентов вуза, которые за деньги решали домашние работы других учеников, Гусман верил в силу свободного интернета.
Но так как на Филиппинах выход в сеть могли позволить себе далеко не все, студент разработал план
«Все мы знаем, что когда мы подключаемся к интернету, то тратим очень много времени лишь на просмотр и чтение электронной почты, при этом тратя много денег на оплату счетов за использование сети в течение всего пары часов», — писал студент. В стране доступ к интернету оплачивался ежечасно (по цене примерно в 2-3 доллара за час), в отличие от развитых сетей в Европе и США
Стало быть, пользователи в развивающихся странах, в том числе и Филиппинах, могли бы использовать соединения тех, кто находится в более богатых странах, пользуясь интернетом дешевле или бесплатно. Это работало бы по принципу удалённого доступа, когда компьютер, используя модем и телефонную сеть, подключается к другому компьютеру (предварительно зная пароль от его учётной записи) для доступа в интернет
В диссертации студент расписал черновой код своей программы, которая бы крала пароли от чужих учётных записей, чтобы реализовать его задумку. Но в вузе идею восприняли враждебно: «Это незаконно» и «Мы не обучаем преступников», — такими фразами встретили идею Гусмана
Разозлившись, он бросил учёбу, хотя до выпускного оставалось совсем немного. Но не оставил задумку, которая, как казалось студенту, служила благому делу
-«>’d Industrial Estato Oubim 18 Ireland As of November, 1999 Jinnyn noian Microsoft Microsoft rear2000 Resource CD NoUbrRewVj ‘ С 1009 Mcioccft CorpomOon А» ih»r« Р«с(чт
К весне 2000 года мир спокойно выдохнул, осознав, что «проблема 2000 года», о которой так много и громко кричали технологические компании и различные эксперты, оказалась не столь значительной
На закате 20 века считалось, что компьютеры не смогут справиться с наступлением 2000 года, так как установленные на них программы использовали только два знака для представления года в датах. Когда год «99» сменился бы на год «00», программы перенеслись бы на столетие назад — в 1900 год, и мировая экономика бы рухнула
По крайней мере, именно так считалось и многие неплохо на этом заработали
Апокалипсиса не произошло — мир вовремя подготовился, и «проблема 2000 года» прошла почти незаметно, не нанеся серьёзного урона. Поэтому когда в мае глава IT-компании Network Box в области кибербезопасности Майкл Газели (Michael Gazeley) начал получать массовые жалобы клиентов на одну и ту же проблему с компьютером, это показалось ему странным
Все они рассказывали одинаковую историю: кто-то в офисе получил электронное письмо с заголовком «Я люблю тебя» и вложением формата vbs внутри, подписанное: «Пожалуйста, посмотрите это любовное письмо, которое я отправил вам»
5 мая 2000 года, мы атакованы вирусом «ILOVEYOU»
То, что выглядело как текстовый документ, на самом деле оказалось вирусом-червём. При открытии он моментально рассылал копию самого себя всем контактам в адресной книге пользователя в Microsoft Outlook. Далее вирус перезаписывал файлы определённых типов (в основном JPG и MP3), распространялся до каталогов Windows и воровал все доступные на системе пароли
На этом этапе остановить распространение стало невозможно — в 2000 году едва ли много людей задумывались о рисках поймать вирус, видя на почте письмо со столь любопытным (как им казалось) содержанием
: From: John Doe To: John Doe Cc: Subject: ILOVEYOU Sent: Thu 5/4/00 11:29 AM kindly check the attached LOVELETTER A LOVE-LETTER-FOR-Y coming from me.» width=»811″ height=»765″ loading=»lazy» />
Скриншот вируса на Windows 9x
За считанные часы вирус переименовал или уничтожил тысячи файлов на корпоративных и личных компьютерах, оставляя жертв в недоумении. «Люди не привыкли к подобным ситуациям, они не знали, что электронная почта может представлять такую опасность», — вспоминал Газели
И действительно — в 2000 году интернетом пользовались около 28% жителей Гонконга, примерно 27% британцев, 15% французов и даже в США, где создали интернет, в районе 43%
«Пандемия» началась утром рабочего четверга вирус с Гонконга, нарушив работу банков, фирм по связям с общественностью и рыночного индекса Доу Джонс. В тот день специалист по кибербезопасности Грэм Клули (Graham Cluley) выступал в Стокгольме с презентацией на тему вирусов, похищающих информацию с компьютеров жертв
Собравшиеся только решили отойти на перерыв, когда у всех массово начали звонить мобильники и вибрировать пейджеры — вирус распространялся, и вместе с ним шла паника
Клули тут же отправился в аэропорт в Лондон, а по прибытии в Великобританию сообщение о некоем вирусе уже заполонила ленты СМИ, став главной технологической новостью. Примерно за пять часов червь, которого к тому моменту уже называли «Вирус «Я люблю тебя»», распространился в Азии, Европе и Северной Америке
Палате общин Великобритании пришлось временно отключить сервера своей «заразившейся» почты. Так же поступили в Ford Motor Company и в Microsoft
На тот момент Windows была установлена примерно на 95% домашних компьютеров, а удобных альтернатив Outlook, через которую распространялся червь, просто ещё не придумали. «[В те дни] многие компании не затачивали фильтры у корпоративной электронной почты, чтобы отсеивать спам, что уж говорить про вирусы», — объяснял Газели
Исходной код «любовного вируса»
К тому же код вируса частично указывал на личность своего создателя. В нём хранились два электронных адреса, оба зарегистрированных на Филиппинах
Следователи подозревали, что таким образом злоумышленник может хотеть сбить их со следа, но всё равно обратились к местному провайдеру в стране Sky Internet с просьбой о помощи — на сервер этого оператора червь отправлял украденные данные и пароли
Провайдер тут же отключил сервер, частично нарушив работу червя. Он перестал служить своей главной цели — собирать информацию с чужих компьютеров — а стал неуправляемым вирусом, который творил хаос
«Гордость страны третьего мира»
Через четыре дня после распространения «любовного вируса» полиция Манилы обыскала квартиру Ирен де Гусман (Irene de Guzman), живущей со своим 23-летним братом Онелем. С ним полиции поговорить не удалось, но с собой они унесли компьютерные журналы, телефоны, дискеты и многочисленные провода. Правда, компьютер, который предположительно использовал подозреваемый, исчез
Подозрения следователей подтвердились, когда преподаватели в AMA University рассказали им о теме диссертации Гусмана
Ещё несколько дней в тени, и наконец создатель «любовного вируса», повергшего в панику специалистов ведущих стран мира, появился на публике. Невысокий и скромный, он вышел на встречу с прессой в чёрных очках, скрывающих глаза, и почти всё время отмалчивался, позволяя своему адвокату говорить за него. А в какой-то момент вовсе закрыл уши руками
Его защитник Роландо Куимбо заявил, что юноша добровольно согласился выступить перед прессой, чтобы показать свою открытость перед законом. «Он даже не знал, что его действия приведут к таким результатам», — уверял адвокат. На вопрос репортёра, в ответе ли он за ущерб, который причинил вирус, Гусман туманно ответил «Это возможно», а чуть позже добавил: «Интернет задумывался как [инструмент] образования, поэтому должен быть бесплатным»
Пресс-конференция Онеля де Гусмана
Этот идеализм едва ли мог повлиять на желание наказать Гусмана, но на Филиппинах, как и во множестве других стран к началу 2000 года, отсутствовали законы о киберпреступлениях. Попытка построить дело по статье о мошенничестве провалилась. Экстрадировать студента в США помешал запрет передавать чужой стране обвиняемого, если на родине не существует закона, за нарушение которого его могли бы осудить«Мы не смогли призвать к правосудию нарушителя, который нанёс ущерб миллионам людей и компаниям по всему миру», — позже комментировал провал следствия сенатор Эдгардо Ангара (Edgardo Angara)
Но для общества Филиппин Гусман быстро стал звездой. Местная газета Manila Standart вышла с заголовком «ДА! Филиппинцы могут!» и подзаголовком «Наш хакер мирового уровня». Ученики AMA University не оставались в стороне — в разговоре с The New York Times однокурсник Гусмана называл его действия «неправильными, но поразительными!»
Для большинства филлипинцев компьютер оставался инструментом будущего (к 2000 году в стране с почти 80-миллионным населением продали лишь 200 тысяч компьютеров) поэтому и действия Гусмана вызвали такой ажиотаж. По иронии, из-за низкого уровня компьютеризации сама страна не попала в число государств, серьёзно пострадавших от вируса
«Вот тот гений, который отметил Филиппины на карте мира, и доказал, что филиппинцы обладают находчивостью и изобретательностью, чтобы перевернуть мир к лучшему или к худшему», — хвалили Гусмана в колонке The Philippine Star. «Вы можете себе представить, что [вирусу] удалось проникнуть в Пентагон?», — задавались студенты в AMA. «Несмотря на то, что Филиппины — это страна третьего мира, и мы отстали в технологиях, нам это удалось!»
Вскоре у «любовного вируса» появились многочисленные подражатели: «Анекдот», «День матери» или «Предупреждение о вирусе», но такую же славу не снискали. Интернет начал медленно адаптироваться к новым реалиям, где открывать электронные письма от незнакомцев может быть опасно. Впрочем, даже 20 лет спустя этому правилу следует далеко не все.
Гусман позирует для прессы после того, как стал известным Фото Reuters
По оценкам ФБР, ущерб от действий червя Гусмана составил больше 10 миллиардов долларов, став одним из самых разрушительных и быстро распространяющихся вирусов в мире
Где же находился сам создатель? Через девять месяцев после компьютерной пандемии он дал небольшое интервью. В нём он рассказал о предложениях по работе от нескольких крупных технологических компаний, включая американскую Sun Microsystems, а также о приглашении вернуться в родной вуз
Однако бывший студент лишь выразил надежду, что после случившегося его не будут считать плохим человеком. «Я не хакер, стремящийся уничтожать. Я не хочу вредить компьютерам. По правде говоря, я хочу, чтобы больше людей их использовало», — говорил Гусман. А после этого интервью пропал с информационных радаров
20 лет после «пандемии»
На протяжении многих лет слухи о местонахождении и карьере Гусмана заполняли интернет. Одни говорили, что он уехал жить в Германию или Австрию. Другие уверяли, что он работает на Microsoft, третьи — что занимается некими делами для ООН. Проверить это казалось невозможным — как бы сильно Гусман ни любил интернет, он не стал заводить ни соцсетей, ни профилей на форумах. По крайней мере, под своим именем
Но правда о судьбе «легенды» находилась гораздо ближе к тому месту, откуда и началась история
Одна из главных достопримечательностей Манилы — это католическая церковь Чёрного Назарянина, рядом с которым расположился большой уличный рынок, где найдётся всё — от игрушек и дешёвой одежды якобы от видных брендов до статуй Девы Марии с подсветкой и мелких магазинов по починке смартфонов
Именно там весной 2020 года журналист Би-би-си Джефф Уайт, который в течение года искал Гусмана, встретился с информатором. А тот наконец познакомил его со знаменитым хакером.
20 лет спустя Гусман изменился внешне, но остался таким же застенчивым и тихим человеком
Познакомившись с журналистом, филиппинец почти сразу признался: «Я не рассчитывал, что вирус доберётся до США и Европы. Я был поражён». Почти цитируя текст своей давно заброшенной диссертации, он объяснил, что именно нехватка денег на интернет вынудила его создать «любовный вирус» с целью выкрасть чужие пароли и использовать их для бесплатного доступа к сети
Сначала всё шло гладко: Гусман знакомился с кем-то в чат-рулетке, которой пользовались в основном жители Манилы, и под предлогом присылал им файл, выдавая его за фото. «Я общался только с теми, кто не разбирается в компьютерах, чтобы поэкспериментировать над ними», — рассказывает бывший хакер. Если бы он продолжил в том же духе, то пандемии «любовного вируса» никогда бы не случилось
Но юноше было любопытно, на что ещё способно его творение, и в мае 2000 года он переписал код программы, чтобы она распространилась за пределы Филиппин.
Однако старый трюк с фотографией, за которой скрывался вирус, не могла обеспечить нужную Гусману эффективность. Ему требовался способ, который мог бы привлечь внимание любого пользователя, вынудив его открыть вредоносный файл
«Я рассудил, что многие люди хотят отношений, хотят любви, так что так я его и назвал», — говорит создатель вируса
«Нулевым пациентом» стал знакомый из Сингапура, с котором Гусман общался в чат-рулетке. Запустив вирус, хакер выключил компьютер и отправился выпивать с другом. О том, что происходило в мире, пока студент напивался, он узнал лишь на следующий день — мать сообщила ему, что полиция разыскивает в Маниле некоего хакера. Она успела спрятать компьютер сына до прихода следователей, но забыла о дискетах, на одной из которых остался код «любовного вируса»
Едва не оказавшись в тюрьме, Гусман надолго ушёл в тень, примерно на год вовсе отказавшись от компьютера. Университет он так и не закончил, а потом устроился техником по ремонту телефонов. Спустя 20 лет он всё ещё занимается этим, сидя в небольшом киоске в торговом центре в окружении инструментов и разобранных телефонов
Гусман воспитывает двух дочерей 7 и 14 лет и утверждает, что доволен своей работой. Что же касается «любовного вируса», то филиппинец до сих пор жалеет о его создании. И о собственной нежелательной славе: «Иногда я встречаю свою фотографию в интернете. Друзья говорят: „Это же ты, это ты!“. Люди узнают моё имя. [Но] я скромный человек. И не хочу ничего подобного»
Онель де Гусман со своей сестрой Ирен на первой и единственной пресс-конференции, Фото AP