ILOVEYOU: вирус, который всех полюбил

Изучаем одну из самых известных вирусных эпидемий 22-летней давности — историю червя ILOVEYOU.

Давайте мысленно перенесемся в май 2000 года. Вы включаете свой рабочий компьютер, подключаетесь к Интернету и скачиваете свежую электронную почту в клиенте Microsoft Outlook. Сразу обращаете внимание на странное письмо с темой ILOVEYOU. В любви вам признается знакомый человек: возможно, школьная подруга, но еще интереснее, если это ваш руководитель в возрасте.

Как бы то ни было, это однозначно привлекает внимание, поэтому вы щелкаете по вложенному файлу с именем «LOVE-LETTER-FOR-YOU.TXT.VBS» и… вроде бы ничего не происходит. Лишь через некоторое время вы обнаруживаете, что важные документы на жестком диске безнадежно испорчены, а еще одно любовное послание разослано уже от вашего имени — по всем контактам в адресной книге вашего почтового клиента.

Примерно так выглядело письмо с червем ILOVEYOU в старом почтовом клиенте Microsoft.

ILOVEYOU был не первым зловредом, эксплуатирующим дыру в почтовых клиентах компании Microsoft. Но он точно инициировал одну из самых серьезных компьютерных эпидемий в начале нового тысячелетия. Давайте вспомним его историю и поговорим о том, как это событие повлияло на представления о безопасности компьютерных систем.

Контекст: Интернет как новая модная технология

2000-й год… Это было очень давно — из 2022-го кажется, будто это доисторические времена. Сейчас можно посмотреть архивные копии сайтов тех времен, достать из чулана старый ноутбук с Windows 98 и вспомнить, какими мы пользовались программами. Каменный век какой-то, правда? Не совсем. Конечно, технологии на рубеже тысячелетий, по нынешним временам, были примитивные. Абсолютное большинство пользователей подключались к сети по модему, и это было чудовищно медленно. Но прототипы практически всех современных сетевых сервисов тогда уже существовали.

Не было видеостриминга, но существовало потоковое радио. Имелся широкий выбор сетевых мессенджеров. Бешено развивалась интернет-торговля, хотя подчас было проще не делать заказ на сайте, а позвонить в магазин по телефону.

Вообще, в 2000 году любой сервис с приставкой «e-» (то есть электронный!), любые сетевые технологии получали массу внимания и инвестиций. Некоторое разочарование инвесторов наступило чуть позже, в 2001 году, когда множество интернет-стартапов обанкротилось, а в индустрии стало чуть меньше хайпа и чуть больше смысла.

Важный показатель популярности Интернета — выход в 1998 году на экраны популярного кинофильма «Вам письмо», наполовину романтической комедии, наполовину — рекламного ролика тогдашнего сетевого гиганта America Online.

Для нашей истории важно, что в конце девяностых Интернет перестал быть местом для избранных: в 2000 году в сеть выходили уже сотни миллионов людей. Соответственно, электронная почта уже тогда была важным инструментом общения и совместной работы для многих компаний и государственных структур, да и обычных домашних пользователей.

Но в мае 2000 года эта, как позже стало модно говорить, «цифровизация» на время была остановлена из-за вирусной эпидемии ILOVEYOU. Множество компаний были вынуждены на время выключить свои почтовые серверы, которые просто не справлялись с потоком из десятков тысяч любовных сообщений.

Предшественники: Concept.B и Melissa

Говоря строго, ILOVEYOU следует классифицировать как сетевого червя: это вредоносная программа, которая самостоятельно распространяется по сети. Еще одна ключевая особенность ILOVEYOU: изначальное заражение производится с помощью простейшей программы на языке программирования VBscript. VBscript, в свою очередь, развивает еще более древнюю идею макросов — по сути, простых программ, позволяющих автоматизировать определенные действия, например при работе с документами.

Чаще всего макросы используются для проведения сложных расчетов в электронных таблицах, например в программе Microsoft Excel. С древних времен макросы поддерживались и в Microsoft Word, например для автоматической генерации отчетов на основе данных, введенных в форму.

В 1995 году эту функциональность Word эксплуатировал вирус WM/Concept.A. Этот макровирус заражал документы Microsoft Word, и при открытии документа выводилось вот такое сообщение:

И это все. Вредоносной функциональности как таковой нет, просто слегка раздражает постоянно выскакивающее окно. Бывший сотрудник Microsoft Стивен Синофски, с 1998 по 2006 год отвечавший за разработку офисных решений компании, в своих мемуарах называет Concept.A первым сигналом: в этот момент стало понятно, что внедряемая во всех решениях Microsoft автоматизация может быть использована во вред. В итоге перед запуском макросов решили выводить предупреждение: в документе содержится программа, вы уверены, что хотите ее запустить?

Как только Microsoft начала внедрять ограничения по запуску макросов, авторы вредоносных программ занялись поиском способов эти ограничения обойти. Следующее громкое событие произошло в марте 1999 года. Как это было, описывает тот же Стивен Синофски: проверяешь почту, а тебе приходит сообщение с приложенным файлом и темой «Важное сообщение от…».

Письмо, зараженное вирусом Melissa.

А потом еще одно, от другого отправителя. И еще. А потом почта перестает работать: даже в Microsoft почтовый сервер не выдержал нагрузки. Это был интернет-червь Melissa. В приложенном документе Microsoft Word содержался вредоносный код, который рассылал сообщение через программу Microsoft Outlook первым 50 контактам из адресной книги.

О любви

Червь ILOVEYOU стал развитием идей, примененных в Melissa. Он не использовал какую-то уязвимость в продуктах Microsoft, а скорее задействовал штатную функциональность. Баг заключался только в том, что при запуске скрипта из почтового клиента Outlook не выводилось вообще никакого предупреждения.

Функциональность червя вовсе не ограничивалась рассылкой любовных сообщений всем адресатам. Помимо почтового спама от имени жертвы, он мог распространяться через мессенджер IRC (если тот был установлен на компьютере). Кроме того, червь загружал троянскую программу, которая отправляла создателю вируса пароли к почте и для доступа в Интернет. Наконец, он удалял, скрывал или портил файлы на жестком диске: музыку в формате MP3, изображения в формате JPEG, а также разнообразные скрипты или копии веб-страниц.

ILOVEYOU объединил в себе разработки из предыдущих макровирусов, улучшил то, что мы сейчас называем социальной инженерией (как не открыть файл с названием «Я люблю тебя»?), добавил вредоносную функциональность и использовал возможности автоматического распространения по максимуму.

По сообщениям «Лаборатории Касперского» и публикациям в СМИ тех времен можно восстановить последовательность событий. Уже в первый день, четвертого мая, зафиксированы «тысячи» зараженных систем. Девятого мая сообщается о 2,5 миллионах зараженных компьютеров, а это десятки миллионов электронных сообщений, отправляемых по всему миру.

Создатель вируса даже не пытался скрыть вредоносный код под видом офисного документа. Имя файла LOVE-LETTER-FOR-YOU.TXT.VBS отчасти эксплуатировало особенность почтовых клиентов Microsoft, которые показывали только первую часть длинного названия, что видно на скриншоте в начале статьи. Внутри был по сути открытый для всех интересующихся исходный код, что моментально привело к появлению множества вариаций интернет-червя. Вместо ILOVEYOU в теме письма начали появляться другие слова, в том числе «Осторожно, опасный вирус!». Вариант NewLove, обнаруженный 19 мая, удалял файлы уже не выборочно, а полностью уничтожал всю информацию на жестком диске.

Итоговые оценки последствий работы вируса ILOVEYOU следующие: были заражены до 10% подключенных к Интернету компьютеров, а общий ущерб, учитывающий также деструктивные действия ILOVEYOU и его вариантов, оценивается примерно в $10 миллиардов. Проблема широко обсуждалась в прессе, а в США даже проводились слушания в сенате.

Источник: https://www.kaspersky.ru/blog/cybersecurity-history-iloveyou/33691/

Чтобы защитить ваши устройства от вирусов, ознакомьтесь с нашими предложениями лицензионных антивирусов.