Интернет 

Начало эпидемии ILOVEYOU. I love you - вирус всепоглощающей любви

Десять лет назад в интернете появился вирус «I love you». Название заманчивое, однако, не дружелюбное по отношению к действиям этого самого вируса. Эпидемия вируса “I love you” началась 4 мая 2000 года. Вирус распространяется через электронную почту пользователей Microsoft Outlook. После открытия файла, приложенного к письму, вирус уничтожает или изменяет некоторые файлы на зараженной машине. Кроме того, червь сразу же, в момент запуска, рассылает себя по всем адресам адресной книги пользователя.

Первыми от червя пострадали страны Азии, поскольку вирус был выпушен на Филиппинах. Затем он пришел в Европу и Америку. По оценкам различных компаний, поражению подверглось огромное количество компьютерных сетей (в отдельных странах – от 30 до 80 процентов). Количество получателей “любовных писем” оценивается в 45 миллионов человек, общие убытки – до 10 миллиардов долларов США.

Между тем победное шествие вируса по миру продолжилось. Хотя многие антивирусные компании сразу же выпустили вакцины от “I love you”, червь начал так же быстро мутировать. Модифицировать его код очень легко, поскольку он написан на скрипт-языке Visual Basic Script, то есть распространяется в исходных текстах.

Немногим позже уже насчитывалось 13 версий “любовного вируса”. При этом создатели “мутантов” не только изменяют код, но и используют оправдавший себя психологический эффект заманчивого заголовка. Как отмечают эксперты, широкое распространение вируса “I love you” связано не только с веерной рассылкой, но и с тем, что в заголовке письма содержалось любовное признание, поэтому пользователи теряли бдительность и бросались открывать приложенный файл.

Некоторые новые версии этого вируса, появившиеся на днях в разных странах, предлагают пользователю следующие “завлекалочки”:

– письмо ненависти, которое якобы получил знакомый;

– счет за билеты, который якобы выставила пользователю авиакомпания Arab Airlines;

– подарок на День Матери, который отмечают в США;

– антивирус, спасающий от “I love you”;

– приглашение на встречу друзей (письмо с заголовком “FRIEND MESSAGE”);

– анекдот (письмо с заголовком “fwd: Joke”)

Лаборатория Касперского тогда сообщила о выпуске антивирусной программы AVP Script Checker, которая, по мнению авторов, защищает не только от червя “I love you”, но и от его мутаций. Данная защита основана на новой технологии проверки всех скрипт-программ, которые запускаются приложениями Windows (такими как Microsoft Explorer, Microsoft Internet Explorer, Microsoft Outlook и т.д.). Защита встраивается как фильтр между приложением, для которого предназначен скрипт (например, Outlook и/или Internet Explorer), и скрипт-машиной, которая непосредственно выполняет скрипт-программу (например, Microsoft Windows Script Host – обработчик VisualBasic-скриптов).

Таким образом, в момент передачи скрипта на обработку и выполнение, его код перехватывается и проверяется на наличие как известных, так и неизвестных скрипт-вирусов и червей. AVP Script Checker распространяется бесплатно и доступен для загрузки на сайте Лаборатории Касперского.

Впрочем, создатели вируса “Я тебя люблю” уже арестованы. Создатели компьютерного вируса “Я тебя люблю” были арестованы на Филиппинах благодаря активной помощи девятнадцатилетнего шведа – лицеиста Джонатана Джеймса. Именно он помог в свое время найти создателя не менее известного вируса “Мелисса”. Как раз после этого ФБР наладило с Джеймсом постоянное сотрудничество. Филиппинские власти задержали в Маниле троих подозреваемых. Ими оказались служащий Ламорес, его жена и сестра жены. Возможно, аресты на этом не закончатся, ведь копий и модификаций злополучного вируса и по сей день в мире не один десяток остался.

Итог, как отмечают исследователи страховых компаний, вред от этого вируса, одного из самых вредоносных за всю историю, по всему миру нанес ущерб в более 10 млрд. долларов США.

Обнаружен новый опасный вирус, притворяющийся признанием в любви!

В четверг компании Symantec и F-Secure сообщили о появлении нового вируса - "червя" LoveLetter, который распространяется по электронной почте под заголовком "ILOVEYOU", а также через IRC. Пользователям Microsoft Outlook приходит письмо (иногда - с адресом знакомых им людей в поле "From"), озаглавленное "ILOVEYOU" и содержащее предложение открыть приложенный файл "Love Letter". Файл является скриптом, написанным на VisualBasic; как только вирус активируется, он рассылает сам себя по почтовым адресам, содержащимся в адресной книге Microsoft Outlook. В отличие от вируса Melissa, действовавшего по той же схеме, ILOVEYOU не ограничивается первыми 50 адресами. LoveLetter копирует себя в две системные директории и добавляет запись в registry - соответственно, он запускается каждый раз при перезагрузке системы. ILOVEYOU наносит значительный ущерб данным, содержащимся на диске зараженного компьютера: файлы с расширениями.js и.css стираются, а вместо них записывается файл скрипта на VisualBasic под тем же названием, что и уничтоженный файл. То же самое происходит с файлами.vbs, .vbe, .jse, .wsh, .sct, .hta, .jpg, .jpeg, .mp3 и.mp2.

Вирус впервые проявился в Гонконге в середине дня в четверг (4 мая). К настоящему моменту он успел заразить множество компьютерных систем в Азии, США и Европе: CNN сообщает о том, что в Азии пострадали многие коммерческие компании, а в США - компьютеры Сената США. Палате представителей нежданное "признание в любви", наоборот, нанесло минимальный ущерб, хотя там были стерты "сотни тысяч" копий вируса, добавляет CNN. Также пострадали компьютерные системы Палаты общин в Великобритании, Европейского парламента, крупных европейских коммерческих компаний.

Компании Symantec и F-Secure уже опубликовали рекомендации по выявлению и уничтожению вируса. Как всегда, наиболее эффективным средством борьбы является клавиша "delete" без предварительной проверки содержания письма и приложения к нему. Жертвой нового вируса чуть было не стала и Lenta.Ru. Они получили его по почте около 8 вечера. Однако вовремя спохватились, и доблестные системщики спасли сеть от гибели.

Начало исходного кода вируса позволяет специалистам сделать некоторые выводы касательно его происхождения. В тексте программы содержится прозвище автора - "spyder", указан электронный почтовый адрес (разумеется, анонимный), название компании и город - Манила, Филиппины. В качестве послания к миру автор вируса оставил в тексте программы записку "я ненавижу ходить в школу". Lenta.ru

"Лаборатория Касперского" о новом интернет-черве LoveLetter

"Лаборатория Касперского" сообщает о появлении в "живом" виде нового опасного Интернет-червя, получившего название I-Worm.LoveLetter. Всего за несколько часов в течение 4 мая с.г. этот новый Интернет-червь посетил компьютеры тысячи пользователей во всем мире. Не избежала его посещения и "Лаборатория Касперского". Неизвестные злоумышленники разослали зараженное "признание в любви" по всему миру.

Распространение и обнаружение:

Пользователь получает письмо с темой ILOVEYOU и текстом kindly check the attached LOVELETTER coming from me. В письме присутствует вложение в виде файла LOVE-LETTER-FOR-YOU.TXT.vbs.

Деструктивное действие:

После открытия этого вложения вирус сканирует локальные и подключенные сетевые диски и пытается переписать все файлы с расширениями VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP2, MP3 своим телом, при этом оригинальные файлы утрачиваются безвозвратно.

В каталоге Windows вирус I-Worm.LoveLetter создает две своих копии с именами Win32.dll.vbs и MSKernel32.vbs. После этого червь регистрирует себя в системном реестре на предмет автоматического запуска при старте системы. Во время работы червь просматривает адресную книгу и рассылает себя по всем найденным адресам.

Таким образом, всего за несколько минут Интернет-червь I-Worm.LoveLetter, не только распространяется по всем Вашим адресам, но и безвозвратно уничтожает некоторые оригинальные файлы.

Методы защиты:

Для недопущения проникновения данного Интернет-червя на Ваш компьютер настоятельно рекомендуется не открывать письмо и ни в коем случае запускать вложенный файл LOVE-LETTER-FOR-YOU.TXT.vbs.

Специалисты "Лаборатории Касперского" в течение 1 часа, создали вакцину против этого вируса, провели ее тестирование и включили в очередное ежедневное обновление антивирусной базы AVP, которая своевременно позволяет защищать пользователей от "непрошеных гостей".

Процедуры обнаружения и удаления вируса I Worm.LoveLetter можно найти на сайте "Лаборатории Касперского" .

Интернет червь написан на скрипт языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH). В Windows 98, Windows 2000 он установлен по умолчанию. Выполняет деструктивные действия, рассылает свои копии по электронной почте и скачивает и устанавливает троянский файл из Интернет.

Проявления червя

После старта червь ищет все файлы на всех доступных дисках. Для файлов с разными расширениями червь выполняет следующие действия:

1. VBS, VBE:
Перезаписывает их собой.
2. JS, JSE, CSS, WSH, SCT, HTA:
Создает файл с именем оригинального объекта и раширением VBS, записывает в этот файл свое тело и удаляет оригинальный файл.
3. JPG, JPEG:
Файлы с такими расширениями червь затирает собой и переименовывает их, добавляя к имени и расширению файла-жертвы расширение.VBS (например -- PIC1.JPG.VBS).
4. MP2, MP3:
Создает новый файл с именем и расширением файла жертвы, добавив расширение VBS, записывает туда свое тело, а на оригинальные файлы устанавливает атрибут скрытый.
5. Если найден один из файлов:
MIRC32.EXE, MLINK32.EXE, SCRIPT.INI, MIRC.HLP, MIRC.INI создает на диске скрипт файл SCRIPT.INI в каталоге с IRC-клиентом.
6. Червь также создает на диске в системных каталогах файлы со своими копиями.

Имена создаваемых файлов:

Скачивание троянского файла

Червь модифицирует стартовую страницу Internet Explorer. Новая ссылка указывает на троянский файл в Интернете: WIN-BUGSFIX.EXE. Таким образом при старте Internet Explorer скачивает троянец из интернета. Затем червь проверяет существование этого файла в DOWNLOAD каталоге Internet Explorer. И если файл найден, то вирус инсталирует его для автоматического запуска в системном реестре. Добавляет ключ:


Run\WIN-BUGSFIX

Червь также создает на диске в системных каталогах файлы со своими копиями. Имена создаваемых файлов:

MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS

Червь прописывает в секции для автоматического запуска файлы:

MSKernel32.vbs, Win32DLL.vbs

Модифицируются ключи системного реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\ RunServices\Win32DLL

Червь создает на диске в системном каталоге WINDOWS свой HTML дроппер:LOVE-LETTER-FOR-YOU.HTMSCRIPT.INI рассылает этот HTM-дроппер по IRC-каналам. После запуска HTML файла браузер выводит текст:This HTML file need ActiveX Control
To Enable to read this HTML file
- Please press "YES" button to Enable ActiveX

Затем червь создает из себя при помощи скрипт программы файл MSKERNEL32.VBS и прописывает его в автозагрузку в системном реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MSKernel32

Рассылка по электронной почте
При каждом запуске червь рассылает себя при помощи клиента электронной программы Outlook 97/98/2000. Для этого червь сканирует все адреса из адресной книги и рассылает себя по электронной почте.
Тема письма:
ILOVEYOU
Сообщение в теле письма:
kindly check the attached LOVELETTER coming from me.
Имя прикрепленного файла:
LOVE-LETTER-FOR-YOU.TXT.vbs

ILOVEYOU

ILOVEYOU , также известный как LoveLetter - компьютерный вирус , который успешно атаковал миллионы компьютеров Windows в 2000 году, когда он был разослан в виде вложения в электронное сообщение . Вирус был разослан на почтовые ящики с Филиппин 3 мая 2000 года ; в теме письма содержалась строка «ILoveYou», а к письму был приложен скрипт «LOVE-LETTER-FOR-YOU.TXT.vbs». Расширение «.vbs» было по умолчанию скрыто, что и заставило ничего не подозревающих пользователей думать, что это был простой текстовый файл. При открытии вложения вирус рассылал копию самого себя всем контактам в адресной книге Windows, а также на адрес, указанный как адрес отправителя. Он также совершал ряд вредоносных изменений в системе пользователя. В общей сложности, вирус поразил более 3 миллионов компьютеров по всему миру. Предполагаемый ущерб, который червь нанёс мировой экономике, оценивается в размере 10-15 миллиардов долларов , за что вошёл в Книгу рекордов Гиннесса , как самый разрушительный компьютерный вирус в мире.

Распространение вируса

Быстрому распространению вируса послужили следующие его черты:

  • Пользователи, открывавшие файл, тем самым передавали программу дальше, то есть механизм передачи был основан на методах социальной инженерии .
  • Расширение файла в системах Windows по умолчанию было скрыто. Таким образом, файл с двойным расширением.txt.vbs пользователями воспринимался как безопасный текстовый файл, а системой интерпретировался как скрипт на языке VBScript .
  • Обработка скриптов также была включена по умолчанию. На то время ещё не существовало программ, активно использующих скриптовые языки, поэтому была допущена столь серьёзная уязвимость .
  • Открытие приложенного к письму файла вызывало немедленное исполнение программы, и вирус получал непосредственный доступ к системе и системному реестру .

Культурное влияние

29 апреля 2011 года на американском кинофестивале в Ньюпорт-Бич состоялся премьерный показ фильма «I love you», посвящённого вирусу .

См. также

Примечания


Wikimedia Foundation . 2010 .

Смотреть что такое "ILOVEYOU" в других словарях:

    ILOVEYOU - Common name Love Letter Type Computer worm Operating system(s) affected Microsoft Windows … Wikipedia

    ILoveYou - (o VBS/LoveLetter) es un gusano informático escrito en VBScript. En mayo del 2000 infectó aproximadamente 50 millones de computadores alrededor del mundo provocando pérdidas de más de 5.500 millones de dólares. Contenido 1 Arquitectura del virus… … Wikipedia Español

    ILOVEYOU - Saltar a navegación, búsqueda ILOVEYOU es un gusano informático que se liberó en mayo de 2000. Historia En mayo de 2000, millones de usuarios de correo electrónico abrían un mensaje con el encabezamiento I love you, y recíbían un golpe bajo. Este … Wikipedia Español

    ILOVEYOU

    ILOVEYOU - Email Virus (Mai 2000), der Dateien auf Windows Systemen durch Öffnen des Anhangs der entsprechend betitelten Email modifizierte und sich selbstmodifizierend an weitere Nutzer im Applikationsadressbuch verschickte … Acronyms

    ILOVEYOU - Email Virus (Mai 2000), der Dateien auf Windows Systemen durch Öffnen des Anhangs der entsprechend betitelten Email modifizierte und sich selbstmodifizierend an weitere Nutzer im Applikationsadressbuch verschickte … Acronyms von A bis Z

    AMA Computer University - Infobox University name = motto = Never rest on one s laurels established = October 15, 1980 type = Private president = Amable Aguiluz IX city = Quezon City state = Metro Manila country = Philippines address = Villa Arca, Project 8 undergrad =… … Wikipedia

    David L. Smith (virus writer) - David L. Smith (born c.1968) is the writer of the Melissa worm. In March 1999, the then 31 year old programmer released the Melissa worm in Aberdeen Township, New Jersey }

Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить