Открыть сервис

ILOVEYOU

ILOVEYOU (также известный как «Love Letter» или «Love Bug») — это компьютерный червь, вызвавший одну из самых масштабных эпидемий в истории интернета в мае 2000 года. Вредоносная программа распространялась по электронной почте, маскируясь под любовное письмо, и нанесла глобальный экономический ущерб, оцениваемый в миллиарды долларов США.

История создания и распространения

Происхождение

Червь ILOVEYOU был создан филиппинским студентом-программистом Онелем де Гусманом (Onel de Guzman), который на момент написания программы обучался в компьютерном колледже AMA в Маниле. По собственному признанию, де Гусман создал червя для кражи паролей доступа к интернету, так как не имел возможности оплачивать услуги провайдера. Впоследствии он не был привлечён к уголовной ответственности, поскольку на Филиппинах в 2000 году отсутствовало законодательство, криминализирующее создание и распространение вредоносных программ.

Механизм распространения

Червь распространялся через электронную почту на платформе Microsoft Windows. Пользователь получал письмо со следующими характеристиками:

  • Тема письма (Subject): «ILOVEYOU»
  • Тело письма: Содержало текст «kindly check the attached LOVELETTER coming from me».
  • Вложение: Файл с именем «LOVE-LETTER-FOR-YOU.TXT.vbs».

Расширение .vbs (Visual Basic Script) было скрыто из-за настроек Windows, по умолчанию скрывавших известные расширения файлов. Пользователь видел лишь «LOVE-LETTER-FOR-YOU.TXT», что создавало ложное впечатление безобидного текстового файла. При открытии вложения запускался скрипт, который немедленно начинал выполнение вредоносных действий.

Хронология эпидемии

  • 4 мая 2000 года (четверг): Первые сообщения о заражении поступили из Гонконга и стран Юго-Восточной Азии. В течение нескольких часов червь распространился по всему миру.
  • 5 мая 2000 года: Эпидемия достигла пика. По оценкам экспертов, в первые часы было заражено от 10 до 15% всех подключённых к интернету компьютеров в мире. Корпоративные почтовые системы (Microsoft, Intel, Пентагон, британский парламент) были парализованы.
  • 6-7 мая 2000 года: Выпущены обновления антивирусных баз и фильтры для почтовых серверов. Распространение червя было остановлено в течение 72 часов.

Технические характеристики и принцип действия

Язык программирования и среда

Червь был написан на языке VBScript (Visual Basic Script Edition) и эксплуатировал уязвимости в архитектуре безопасности Windows 9x, Windows NT и Windows 2000. Для своей работы он требовал установленный Windows Scripting Host (WSH), который входил в стандартную поставку операционной системы.

Алгоритм работы

После активации скрипт выполнял следующие действия:

  1. Рассылка по почте: Червь обращался к адресной книге почтового клиента Microsoft Outlook и отправлял копии самого себя всем контактам. Это обеспечивало экспоненциальный рост числа заражений.
  2. Перезапись файлов: Скрипт искал на локальном диске и сетевых дисках файлы с определёнными расширениями (.jpg, .jpeg, .mp3, .mp2, .js, .css, .vbs, .vbe и другие) и заменял их своими копиями. Исходные файлы безвозвратно уничтожались.
  3. Кража паролей: Червь искал сохранённые пароли в системных файлах и отправлял их на указанный в коде электронный адрес (принадлежавший де Гусману), используя протокол SMTP.
  4. Маскировка и самосохранение: Червь модифицировал реестр Windows, чтобы автоматически запускаться при каждой загрузке системы. Он также пытался отключить работу антивирусного программного обеспечения.

Варианты и модификации

В течение нескольких дней после начала эпидемии появились многочисленные модификации ILOVEYOU, в том числе:

  • Very Funny — вариант с другим текстом письма.
  • Mother’s Day — червь, маскировавшийся под поздравление с Днём матери.
  • VBSWG — конструктор, позволявший создавать новые версии червя без навыков программирования.

Последствия и экономический ущерб

Масштаб заражения

По различным оценкам, червь ILOVEYOU поразил от 3 до 10 миллионов компьютеров в более чем 20 странах мира. Среди пострадавших организаций были:

  • Пентагон (Министерство обороны США): Временно отключены почтовые системы.
  • ЦРУ и ФБР: Зафиксированы случаи заражения внутренних сетей.
  • Британский парламент: Приостановлена работа электронной почты.
  • Крупные корпорации: Microsoft, Intel, Ford, Siemens, Deutsche Telekom.

Финансовые потери

Совокупный ущерб от эпидемии ILOVEYOU, включая затраты на очистку систем, восстановление данных и потерю производительности, оценивается страховыми и аналитическими компаниями в сумму от 5 до 10 миллиардов долларов США. Эта атака стала самой дорогостоящей в истории на тот момент, превзойдя по ущербу червь Morris (1988) и вирус CIH (1998).

Влияние на кибербезопасность

Эпидемия ILOVEYOU привела к нескольким значимым изменениям в индустрии информационной безопасности:

  • Усиление законодательства: Многие страны, включая Филиппины, приняли законы, криминализирующие создание и распространение вредоносного ПО (Закон о киберпреступности Филиппин был принят в 2012 году).
  • Изменение политик безопасности: Корпорации начали массово внедрять фильтрацию вложений электронной почты и блокировать исполнение скриптов из почтовых клиентов.
  • Развитие антивирусной индустрии: Атака стимулировала развитие эвристического анализа и проактивных методов обнаружения угроз.
  • Повышение осведомлённости: ILOVEYOU стал одним из первых примеров социальной инженерии в интернете, наглядно продемонстрировав, что доверие пользователя к знакомому отправителю может быть использовано для атаки.

Критика и этические аспекты

Действия Онеля де Гусмана вызвали широкую общественную дискуссию. С одной стороны, его мотивация (кража доступа к интернету из-за бедности) вызвала некоторую симпатию в развивающихся странах. С другой стороны, непреднамеренные последствия — уничтожение данных миллионов пользователей и колоссальный экономический ущерб — были расценены как преступная халатность. Сам де Гусман впоследствии утверждал, что не ожидал столь масштабного распространения червя и не планировал наносить вред. Отсутствие наказания для создателя ILOVEYOU стало поводом для критики международного сотрудничества в области борьбы с киберпреступностью.

Источники

  • CERT Coordination Center. «CERT Advisory CA-2000-04 Love Letter Worm». Carnegie Mellon University, 2000.
  • Symantec Corporation. «VBS.LoveLetter.Var». Threat Encyclopedia, 2000.
  • The New York Times. «The Love Bug: A Worm That Spreads Globally». 5 мая 2000 года.
  • BBC News. «The Love Bug virus: 20 years on». 4 мая 2020 года.
  • Leyden, John. «Onel de Guzman: The creator of the ILOVEYOU worm». The Register, 2020.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →