I Love You
| |
Data
documento:
13 Marzo 2003 |
I love you
| Nome: |
LOVE-LETTER-FOR-YOU.TXT.vbs |
| Categoria: |
Worm - Virus
- Snifer |
| Provenienza: |
Filippine |
| Programmatore: |
Onel De Guzman
e Michael Buen |
| Data diffusione: |
4 maggio 2000 |
| Sistemi colpiti: |
Windows (con
Outlook o MIRC) |
| Virulenza: |
Altissima |
| Tipo diffusione: |
Posta, IRC,
file |
I love you è un worm, realizzato utilizzando il VBS
(Visual Basic Scripting), che cerca di ingannare l' utente, sfruttando la sua
inesperienza e i settaggi standard di Windows che nasconde le estensioni conosciute.
 Il
contagio del worm avviene infatti tramite l' invio, via posta elettronica o
via chat, di un documento chiamato LOVE-LETTER-FOR-YOU.TXT.vbs, questo file
viene eseguito con il Wscript.exe, ma un utente disattento lo scambia per un
testo in quanto l' estensione vbs viene nascosta all 'utente perchè conosciuta
da Windows.
Una volta avviato, I love You, modifica numerosi file nel computer
bersaglio (tra cui mp3 e file immagine) dopo di che si replica e si auto invia
a tutti gli indirizzi di posta presenti nella rubrica di Outlook allegandosi
ad un email con il soggetto "I love you" per l' appunto. La sua diffusione
in alcuni casi avviene anche con il client MIRC.
Di seguito vengono elencate tutte le operazioni che il worm
compie:
-
Si replica nella directory system di windows con i nomi
"MSKernel32.vbs" e "LOVE-LETTER-FOR-YOU.TXT.vbs";
-
Si replica nella directory di windows con il nome "Win32DLL.vbs";
-
Crea le seguenti chiavi nel registro di windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL;
-
Modifica la pagina iniziale di Internet Explorer inserendo
il link al file WIN-BUGSFIX.exe
(tale file è stato inserito a suo tempo nel sistema bucato del' ISP
filippino Skynet) eseguendolo all' apertura del browser, se viene eseguito
si installerà uno snifer chiamato "BAROK..." che cattura
le password e le invia all' e-mail mailme@super.net.ph tramite il server
filippino smtp.super.net.ph;
-
Crea il file "HTML LOVE-LETTER-FOR-YOU.HTM"
nella directory system di windows;
-
Se trova Mirc installato ne modifica il file "script.ini",
in questo modo Mirc invierà il file htm appena copiato via IRC autorepicandosi
anche per questa via;
-
A questo punto invia, a tutti i destinatari trovati nella
rubrica di Outlook, un messaggio con oggetto "ILOVEYOU", il corpo
con la frase "kindly check the attached LOVELETTER coming from me."
e in allegato il virus stesso;
-
Inserisce una chiave nel registro per ricordare di aver
già mandato i messaggi e quindi di non mandarli più;
-
Cerca tutti i file con le estensioni js, jse, css, wsh,
sct, hta, jpg, jpeg sostituendoli con altri di identica grandezza, ma con
all' interno lo stesso worm e in aggiunta l' estensione vbs, cancellando
gli originali, stessa cosa avviene per i file mp2 e mp3, ma in questo caso
non vengono cancellati, ma solo nascosti.
Questo worm, nonostante sia innocuo per chiunque abbia conoscenze
medie di Windows ed internet, è riuscito a contagiare più di 45
milioni di computer in un solo mese di attività, con danni che sfiorano
il miliardo di dollari. Tra i sistemi illustri colpiti dal virus spiccano il
Pentagono, il Parlamento britannico, il Centro Spaziale della Nasa a Houston,
il Jet Propulsion Laboratory di Pasadena, la Ford, Vodafone, AirTouch, la Philips,
la At&t, la Walt Disney, in Italia la Telecom e il Ministero del Tesoro.
Le ricerche per trovare il realizzatore di I love you non sono
durate a lungo, infatti lo stesso autore aveva firmato il worm con la seguente
intestazione:
barok -loveletter(vbe)
by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila, Philippines
 in
questa firma, non solo è presente la città di origine del worm,
ma anche il gruppo GRAMMERSoft, fondato nel "Ama Computer College"
di Manila. Il padre di questo worm è infatti Onel De Guzman (nella foto
a destra), ventitreenne appassionato di informatica già dalla sua adolescenza.
Nonostante questo giovane si sia sempre dichiarato innocente, e diventato una
personalità nel mondo informatico, non solo per la l' ingegno che ha
messo nella realizzazione del worm, ma soprattutto per la tecnica di social
engineering che ha utilizzato per contagiare i sistemi.
Guzman in seguito alla sua incriminazione non solo ha ricevuto
numerose richieste di assunzione da parte di grosse aziende di sicurezza, ma
non è neanche stato condannato, per aver dato vita ad I love you, in
quanto al momento della realizzazione e diffusione del worm, nelle Filippine
non esisteva una legge che vietava una condotta simile. Si sospetta che Guzman
sia solo l' untore, ma che il vero padre del worm sia l' amico e compagno di
gruppo Michael Buen, ma per lui non è mai stata provata alcuna accusa,
mentre Guzman è stato trovato in possesso di un codice sorgente molto
simile ad I love you.
Esistono numerose varianti eredi di I love you che come l'
originale si allegano a messaggi con gli oggetti più strani "PLEASE
VISIT HTTP://WWW.2600.COM" o "US PRESIDENT AND FBI SECRETS",
di seguito sono elencate alcune di queste varianti:
| Susitikim |
VBS/LoveLetter.A |
| Price Quote |
VBS/LoveLetter.A |
| Mother's Day |
LoveLetter.Variant |
| LoveLetter.A |
VBS/LoveLetter.A |
| Susitikim |
VBS/LoveLetter.B |
| Very Funny |
VBS/LoveLetter.C |
| Mother's Day |
VBS/LoveLetter.D |
| Bewerbung.TXT.vbs |
VBS/LoveLetter.F |
| LOOK.vbs |
VBS/LoveLetter.J |
| ArabAir.TXT.vbs |
VBS/LoveLetter.K |
| BugFix |
VBS/LoveLetter.L |
| UOL.TXT.vbs |
VBS/LoveLetter.R |
| Lithuania |
LoveLetter.Variant |
| Virus Warning |
LoveLetter.Variant |
| Virus ALERT!!! |
LoveLetter.Variant |
| No Comments |
LoveLetter.Variant |
Read carefully!!
|
LoveLetter.Variant |
|
