Компьютерный вирус i love you. Начало эпидемии ILOVEYOU
Эпидемия вируса "I love you" началась 4 мая 2000 года. Вирус распространяется через электронную почту пользователей Microsoft Outlook. После открытия файла, приложенного к письму, вирус уничтожает или изменяет некоторые файлы на зараженной машине. Кроме того, червь сразу же, в момент запуска, рассылает себя по всем адресам адресной книги пользователя.
Эпидемия вируса "I love you" началась 4 мая 2000 года. Вирус распространяется через электронную почту пользователей Microsoft Outlook. После открытия файла, приложенного к письму, вирус уничтожает или изменяет некоторые файлы на зараженной машине. Кроме того, червь сразу же, в момент запуска, рассылает себя по всем адресам адресной книги пользователя.
Первыми от червя пострадали страны Азии, поскольку вирус был выпушен на Филиппинах. Затем он пришел в Европу и Америку. По оценкам различных компаний, поражению подверглось огромное количество компьютерных сетей (в отдельных странах - от 30 до 80 процентов). Количество получателей "любовных писем" оценивается в 45 миллионов человек, общие убытки - до 10 миллиардов долларов США.
Между тем победное шествие вируса по миру продолжается. Хотя многие антивирусные компании сразу же выпустили вакцины от "I love you", червь начал так же быстро мутировать. Модифицировать его код очень легко, поскольку он написан на скрипт-языке Visual Basic Script, то есть распространяется в исходных текстах.
Уже в понедельник насчитывалось 13 версий "любовного вируса". При этом создатели "мутантов" не только изменяют код, но и используют оправдавший себя психологический эффект заманчивого заголовка. Как отмечают эксперты, широкое распространение вируса "I love you" связано не только с веерной рассылкой, но и с тем, что в заголовке письма содержалось любовное признание, поэтому пользователи теряли бдительность и бросались открывать приложенный файл.
Некоторые новые версии этого вируса, появившиеся на днях в разных странах, предлагают пользователю следующие "завлекалочки":
Письмо ненависти, которое якобы получил знакомый;
- счет за билеты, который якобы выставила пользователю авиакомпания Arab Airlines;
- подарок на День Матери, который отмечают в США;
- антивирус, спасающий от "I love you";
- приглашение на встречу друзей (письмо с заголовком "FRIEND MESSAGE");
- анекдот (письмо с заголовком "fwd: Joke")
Лаборатория Касперского сообщила в воскресенье о выпуске антивирусной программы AVP Script Checker, которая, по мнению авторов, защищает не только от червя "I love you", но и от его мутаций. Данная защита основана на новой технологии проверки всех скрипт-программ, которые запускаются приложениями Windows (такими как Microsoft Explorer, Microsoft Internet Explorer, Microsoft Outlook и т.д.). Защита встраивается как фильтр между приложением, для которого предназначен скрипт (например, Outlook и/или Internet Explorer), и скрипт-машиной, которая непосредственно выполняет скрипт-программу (например, Microsoft Windows Script Host - обработчик VisualBasic-скриптов).
Таким образом, в момент передачи скрипта на обработку и выполнение, его код перехватывается и проверяется на наличие как известных, так и неизвестных скрипт-вирусов и червей. AVP Script Checker распространяется бесплатно и доступен для загрузки на сайте Лаборатории Касперского.
Тем временем подозреваемый в создании вируса житель Филлипин Реонель Рамонес после задержания и обыска отпущен на свободу. Кроме Рамонеса и его подруги, в разработке вируса подозреваются еще несколько студентов компьютерной школы AMA Computer College в Маниле: как передает Reuters, американское ФБР расшифровало "подписи" десяти студентов в коде вируса. В частности, объявлен в розыск студент Онел А. Де Гузман, который ранее написал в качестве дипломной работы программу, очень напоминающую "вирус любви".
Однако специалисты высказывают сомнение в том, что на Филиппинах кого-то смогут серьезно наказать за создание такого червя. Даже обыск в доме Рамонеса и его подруги был задержан на день из-за необходимости получить санкцию на обыск по такому необычному поводу, как компьютерное хулиганство, которое не является преступлением по филиппинским законам. В результате в доме Рамонеса не нашли вообще ни одного компьютера.
Материал из Википедии - свободной энциклопедии
ILOVEYOU , также известный как LoveLetter - компьютерный вирус , который успешно атаковал миллионы компьютеров под управлением Windows в 2000 году, когда он был разослан в виде вложения в электронное сообщение .
Описание
Вирус был разослан на почтовые ящики с Филиппин в ночь с 4 мая на 5 мая 2000 года ; в теме письма содержалась строка «ILoveYou», а к письму был приложен скрипт «LOVE-LETTER-FOR-YOU.TXT.vbs». В большинстве случаев пользователь открывал вложение. При открытии вирус рассылал копию самого себя всем контактам в адресной книге Miсrosoft Outlook. Он также перезаписывал файлы определённых типов и распространялся через IRC-каналы, создавая файл LOVE-LETTER-FOR-YOU.HTM в системном каталоге Windows. В общей сложности, вирус поразил более 3 миллионов компьютеров по всему миру. Предполагаемый ущерб, который червь нанёс мировой экономике, оценивается в размере 10-15 миллиардов долларов , за что вошёл в Книгу рекордов Гиннесса , как самый разрушительный компьютерный вирус в мире.
Распространение вируса
Быстрому распространению вируса послужили следующие его черты:
- Пользователи, открывавшие файл, тем самым передавали программу дальше, то есть механизм передачи был основан на методах социальной инженерии .
- Расширение файла в системах Windows по умолчанию было скрыто. Таким образом, файл с двойным расширением.txt.vbs пользователями воспринимался как безопасный текстовый файл, а системой интерпретировался как скрипт на языке VBScript .
- Обработка скриптов также была включена по умолчанию. На то время ещё не существовало программ, активно использующих скриптовые языки, поэтому была допущена столь серьёзная уязвимость .
- Открытие приложенного к письму файла вызывало немедленное исполнение программы, и вирус получал непосредственный доступ к системе и системному реестру .
Культурное влияние
29 апреля 2011 года на американском кинофестивале в Ньюпорт-Бич состоялся премьерный показ фильма «I love you», посвящённого вирусу .
См. также
Напишите отзыв о статье "ILOVEYOU"
Примечания
| Это заготовка статьи по информационной безопасности (защите информации) . Вы можете помочь проекту, дополнив её. |
Отрывок, характеризующий ILOVEYOU
Русский император между тем более месяца уже жил в Вильне, делая смотры и маневры. Ничто не было готово для войны, которой все ожидали и для приготовления к которой император приехал из Петербурга. Общего плана действий не было. Колебания о том, какой план из всех тех, которые предлагались, должен быть принят, только еще более усилились после месячного пребывания императора в главной квартире. В трех армиях был в каждой отдельный главнокомандующий, но общего начальника над всеми армиями не было, и император не принимал на себя этого звания.
Чем дольше жил император в Вильне, тем менее и менее готовились к войне, уставши ожидать ее. Все стремления людей, окружавших государя, казалось, были направлены только на то, чтобы заставлять государя, приятно проводя время, забыть о предстоящей войне.
После многих балов и праздников у польских магнатов, у придворных и у самого государя, в июне месяце одному из польских генерал адъютантов государя пришла мысль дать обед и бал государю от лица его генерал адъютантов. Мысль эта радостно была принята всеми. Государь изъявил согласие. Генерал адъютанты собрали по подписке деньги. Особа, которая наиболее могла быть приятна государю, была приглашена быть хозяйкой бала. Граф Бенигсен, помещик Виленской губернии, предложил свой загородный дом для этого праздника, и 13 июня был назначен обед, бал, катанье на лодках и фейерверк в Закрете, загородном доме графа Бенигсена.
В тот самый день, в который Наполеоном был отдан приказ о переходе через Неман и передовые войска его, оттеснив казаков, перешли через русскую границу, Александр проводил вечер на даче Бенигсена – на бале, даваемом генерал адъютантами.
Был веселый, блестящий праздник; знатоки дела говорили, что редко собиралось в одном месте столько красавиц. Графиня Безухова в числе других русских дам, приехавших за государем из Петербурга в Вильну, была на этом бале, затемняя своей тяжелой, так называемой русской красотой утонченных польских дам. Она была замечена, и государь удостоил ее танца.
Борис Друбецкой, en garcon (холостяком), как он говорил, оставив свою жену в Москве, был также на этом бале и, хотя не генерал адъютант, был участником на большую сумму в подписке для бала. Борис теперь был богатый человек, далеко ушедший в почестях, уже не искавший покровительства, а на ровной ноге стоявший с высшими из своих сверстников.
В двенадцать часов ночи еще танцевали. Элен, не имевшая достойного кавалера, сама предложила мазурку Борису. Они сидели в третьей паре. Борис, хладнокровно поглядывая на блестящие обнаженные плечи Элен, выступавшие из темного газового с золотом платья, рассказывал про старых знакомых и вместе с тем, незаметно для самого себя и для других, ни на секунду не переставал наблюдать государя, находившегося в той же зале. Государь не танцевал; он стоял в дверях и останавливал то тех, то других теми ласковыми словами, которые он один только умел говорить.
I love you - вирус, вошедший в Книгу рекордов Гинесса со статусом самого разрушительного вредоносного программного кода в мире.
Эпидемия
4 мая 2000 года в сеть был выпущен новый вирус, быстро заполонивший более 3 млн компьютеров. Скорость распространения "любовной лихорадки" била все рекорды благодаря веерной рассылке по адресным книгам пользователей.
Благодаря интригующему заголовку письма, в котором содержался вирус, большинство владельцев компьютеров не могло сдержать искушения открыть его, что и привело к подобной катастрофе.
I love you (вирус) был выпущен в Филиппинах, поэтому первой от его разрушительного действия пострадала Азия, а следом за ней - Европа и Россия. Сообщения о заражениях целых компаний поступали в огромных количествах, и уже через 3 дня количество повреждённых компьютеров оценивалось в более чем 2 млн экземпляров.
Распространение
Программный код распространялся посредством электронных сообщений через вложения в письме с заманчивым заголовком I love you.
Вирус этот родом с Филиппин, и изначально его создание приписывалось некому Реонелю Рамонесу. Однако при обыске в доме молодого человека не нашли ни одного компьютера. Затем в программном коде вируса ФСБ других студентов компьютерной школы в Маниле, но и в этот раз обвинения не подтвердились.
Лишь спустя несколько месяцев был найден истинный создатель - Онел де Гузман. Но... законодательство Филиппин не карало компьютерное хулиганство, поэтому все требования начать разбирательство остались без внимания на тот момент.
I love you - вирус, который сам себя копирует и рассылает после исполнения пользователем по электронным адресам, найденным в контактах жертвы.
Как действует вирус
После первого запуска копирует себя в системные директории и реестр ОС, после чего сканирует компьютер в поисках мультимедийных файлов. Найдя искомое, вирус меняет расширение данных, порой делая их невидимыми для пользователя. После этого I love you начинает веерную рассылку по адресатам и загружает программу для кражи паролей, отсылающую информацию на е-мэйл создателя кода.
Однако так действует компьютерный вирус love letter 2000 года. С тех пор код подвергся сильным модификациям, и если ранее его действие наносило вред лишь мультимедийным файлам, то с течением времени всё изменилось. Новые версии "любовного послания" приводят к выходу компьютера из строя, удаляя и изменяя системные файлы INI и BAT, отвечающие за загрузку машины.
О мерах предосторожности
В интернете до сих пор гуляют некоторые версии вируса, однако их всё меньше, поскольку лаборатория Касперского уже давно разработала программу, способную распознать любую модификацию "любовного послания". ПО проверяет скрипт перед исполнением, и если находит в нём признаки вредоносного кода, предотвращает его запуск.
Однако уже действующий вирус I love you (создатель этой гадости - Онел де Гузман) остановить не получится - его можно лишь удалить, потеряв поражённые файлы. Чтобы избежать таких последствий (особенно это касается пользователей, не считающих нужным защищать свой ПК), лучше не скачивать никаких подозрительных вложений, даже если они пришли с письмом от друга. Стоит лишний раз уточнить у приятеля, что в них находится, и убедиться, что е-мэйл действительно был прислан человеком, а не вредоносной программой.
Судьба де Гузмана
В целом обвинение пало на Онела по его же глупости: тот ещё в свою бытность студентом пытался представить в качестве дипломной работы вирус, ворующий пароли пользователей и отсылающий их по электронной почте другим людям. Молодой человек считал, что это пойдёт на пользу юзерам и сократит их расходы в Сети.
Преподавательский состав, конечно, такой шаг не одобрил, но и де Гузман не бросил разработку программы. Как было сказано ранее, повесить на бывшего студента обвинение не удалось - в его пользу играло несовершенное законодательство Филиппин и отсутствие улик. Сам молодой человек отвечал на вопросы о вирусе очень неоднозначно. По его показаниям выходило, что скрипт был написан не им, но именно он выпустил программу в мир.
Однако в 2010 году появилась другая версия. Согласно ей, I love you - вирус, написанный однокурсником де Гузмана. Тот был влюблён в девушку Онела, и чтобы отомстить, создал вредоносный скрипт, включив в него разработку студента. После чего взломал почтовый ящик его возлюбленной и с него отправил Онелу письмо с вирусом. Таким образом, выходит, что вина де Гузмана может считаться лишь косвенной, т. к. он стал распространителем эпидемии в качестве жертвы, а не создателя.
Обнаружен новый опасный вирус, притворяющийся признанием в любви!
В четверг компании Symantec и F-Secure сообщили о появлении нового вируса - "червя" LoveLetter, который распространяется по электронной почте под заголовком "ILOVEYOU", а также через IRC. Пользователям Microsoft Outlook приходит письмо (иногда - с адресом знакомых им людей в поле "From"), озаглавленное "ILOVEYOU" и содержащее предложение открыть приложенный файл "Love Letter". Файл является скриптом, написанным на VisualBasic; как только вирус активируется, он рассылает сам себя по почтовым адресам, содержащимся в адресной книге Microsoft Outlook. В отличие от вируса Melissa, действовавшего по той же схеме, ILOVEYOU не ограничивается первыми 50 адресами. LoveLetter копирует себя в две системные директории и добавляет запись в registry - соответственно, он запускается каждый раз при перезагрузке системы. ILOVEYOU наносит значительный ущерб данным, содержащимся на диске зараженного компьютера: файлы с расширениями.js и.css стираются, а вместо них записывается файл скрипта на VisualBasic под тем же названием, что и уничтоженный файл. То же самое происходит с файлами.vbs, .vbe, .jse, .wsh, .sct, .hta, .jpg, .jpeg, .mp3 и.mp2.
Вирус впервые проявился в Гонконге в середине дня в четверг (4 мая). К настоящему моменту он успел заразить множество компьютерных систем в Азии, США и Европе: CNN сообщает о том, что в Азии пострадали многие коммерческие компании, а в США - компьютеры Сената США. Палате представителей нежданное "признание в любви", наоборот, нанесло минимальный ущерб, хотя там были стерты "сотни тысяч" копий вируса, добавляет CNN. Также пострадали компьютерные системы Палаты общин в Великобритании, Европейского парламента, крупных европейских коммерческих компаний.
Компании Symantec и F-Secure уже опубликовали рекомендации по выявлению и уничтожению вируса. Как всегда, наиболее эффективным средством борьбы является клавиша "delete" без предварительной проверки содержания письма и приложения к нему. Жертвой нового вируса чуть было не стала и Lenta.Ru. Они получили его по почте около 8 вечера. Однако вовремя спохватились, и доблестные системщики спасли сеть от гибели.
Начало исходного кода вируса позволяет специалистам сделать некоторые выводы касательно его происхождения. В тексте программы содержится прозвище автора - "spyder", указан электронный почтовый адрес (разумеется, анонимный), название компании и город - Манила, Филиппины. В качестве послания к миру автор вируса оставил в тексте программы записку "я ненавижу ходить в школу". Lenta.ru
"Лаборатория Касперского" о новом интернет-черве LoveLetter
"Лаборатория Касперского" сообщает о появлении в "живом" виде нового опасного Интернет-червя, получившего название I-Worm.LoveLetter. Всего за несколько часов в течение 4 мая с.г. этот новый Интернет-червь посетил компьютеры тысячи пользователей во всем мире. Не избежала его посещения и "Лаборатория Касперского". Неизвестные злоумышленники разослали зараженное "признание в любви" по всему миру.
Распространение и обнаружение:
Пользователь получает письмо с темой ILOVEYOU и текстом kindly check the attached LOVELETTER coming from me. В письме присутствует вложение в виде файла LOVE-LETTER-FOR-YOU.TXT.vbs.
Деструктивное действие:
После открытия этого вложения вирус сканирует локальные и подключенные сетевые диски и пытается переписать все файлы с расширениями VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP2, MP3 своим телом, при этом оригинальные файлы утрачиваются безвозвратно.
В каталоге Windows вирус I-Worm.LoveLetter создает две своих копии с именами Win32.dll.vbs и MSKernel32.vbs. После этого червь регистрирует себя в системном реестре на предмет автоматического запуска при старте системы. Во время работы червь просматривает адресную книгу и рассылает себя по всем найденным адресам.
Таким образом, всего за несколько минут Интернет-червь I-Worm.LoveLetter, не только распространяется по всем Вашим адресам, но и безвозвратно уничтожает некоторые оригинальные файлы.
Методы защиты:
Для недопущения проникновения данного Интернет-червя на Ваш компьютер настоятельно рекомендуется не открывать письмо и ни в коем случае запускать вложенный файл LOVE-LETTER-FOR-YOU.TXT.vbs.
Специалисты "Лаборатории Касперского" в течение 1 часа, создали вакцину против этого вируса, провели ее тестирование и включили в очередное ежедневное обновление антивирусной базы AVP, которая своевременно позволяет защищать пользователей от "непрошеных гостей".
Процедуры обнаружения и удаления вируса I Worm.LoveLetter можно найти на сайте "Лаборатории Касперского" .
Интернет червь написан на скрипт языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH). В Windows 98, Windows 2000 он установлен по умолчанию. Выполняет деструктивные действия, рассылает свои копии по электронной почте и скачивает и устанавливает троянский файл из Интернет.
Проявления червя
После старта червь ищет все файлы на всех доступных дисках. Для файлов с разными расширениями червь выполняет следующие действия:
1. VBS, VBE:
Перезаписывает их собой.
2. JS, JSE, CSS, WSH, SCT, HTA:
Создает файл с именем оригинального объекта и раширением VBS, записывает в
этот файл свое тело и удаляет оригинальный файл.
3. JPG, JPEG:
Файлы с такими расширениями червь затирает собой и переименовывает их,
добавляя к имени и расширению файла-жертвы расширение.VBS (например --
PIC1.JPG.VBS).
4. MP2, MP3:
Создает новый файл с именем и расширением файла жертвы, добавив расширение
VBS, записывает туда свое тело, а на оригинальные файлы устанавливает
атрибут скрытый.
5. Если найден один из файлов:
MIRC32.EXE, MLINK32.EXE, SCRIPT.INI, MIRC.HLP, MIRC.INI
создает на диске скрипт файл SCRIPT.INI в каталоге с IRC-клиентом.
6. Червь также создает на диске в системных каталогах файлы со своими
копиями.
Имена создаваемых файлов:
Скачивание троянского файла
Червь модифицирует стартовую страницу Internet Explorer. Новая ссылка указывает на троянский файл в Интернете: WIN-BUGSFIX.EXE. Таким образом при старте Internet Explorer скачивает троянец из интернета. Затем червь проверяет существование этого файла в DOWNLOAD каталоге Internet Explorer. И если файл найден, то вирус инсталирует его для автоматического запуска в системном реестре. Добавляет ключ:
Run\WIN-BUGSFIX
Червь также создает на диске в системных каталогах файлы со своими копиями. Имена создаваемых файлов:
MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS
Червь прописывает в секции для автоматического запуска файлы:
MSKernel32.vbs, Win32DLL.vbs
Модифицируются ключи системного реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\
RunServices\Win32DLL
Червь создает на диске в системном каталоге WINDOWS свой HTML дроппер:LOVE-LETTER-FOR-YOU.HTMSCRIPT.INI рассылает этот HTM-дроппер по IRC-каналам. После запуска HTML
файла браузер выводит текст:This HTML file need ActiveX Control
To Enable to read this HTML file
- Please press "YES" button to Enable ActiveX
Затем червь создает из себя при помощи скрипт программы файл MSKERNEL32.VBS
и прописывает его в автозагрузку в системном реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MSKernel32
Рассылка по электронной почте
При каждом запуске червь рассылает себя при помощи клиента электронной
программы Outlook 97/98/2000. Для этого червь сканирует все адреса из
адресной книги и рассылает себя по электронной почте.
Тема письма:
ILOVEYOU
Сообщение в теле письма:
kindly check the attached LOVELETTER coming from me.
Имя прикрепленного файла:
LOVE-LETTER-FOR-YOU.TXT.vbs
