ILOVEYOU

Screenshot di una mail che ha come allegato il worm ILOVEYOU

ILOVEYOU è un worm per computer che ha attaccato con successo dieci milioni di computer Windows il 4 maggio 2000, quando venne inviato come allegato su un messaggio email con testo "ILOVEYOU" nella riga dell'oggetto.[1]

Dato che il worm utilizzava le mailing list come fonti per i destinatari, i messaggi spesso apparivano come provenienti da conoscenti e venivano pertanto considerati "sicuri", fornendo ulteriori incentivi ad aprire l'allegato. Bastavano pochi utenti che accedessero all'allegato per ogni provider per generare i milioni di messaggi che paralizzarono i sistemi POP sotto il loro peso, senza menzionare il fatto che il worm sovrascrisse milioni di file su stazioni di lavoro e server accessibili.

Il worm arrivò nelle caselle di posta a partire dal 5 maggio 2000 con il semplice oggetto "ILOVEYOU" e l'allegato "LOVE-LETTER-FOR-YOU.TXT.vbs". L'estensione 'vbs' finale era nascosta di default, facendo in modo che gli utenti visualizzassero il nome del file come "LOVE-LETTER-FOR-YOU.TXT" e potessero pensare che fosse un vero file di testo. Non appena aperto l'allegato, il worm inviava una copia di se stesso a chiunque nella Rubrica di Windows e con l'indirizzo del mittente dell'utente. Inoltre effettuava un certo numero di cambiamenti malevoli al sistema dell'utente.

Questo meccanismo di propagazione era già noto (principalmente nei mainframe IBM, piuttosto che in ambienti MS Windows) e già utilizzato nel Christmas Tree EXEC del 1987 il quale abbatté un certo numero di mainframe nel mondo a quell'epoca.[senza fonte]

Quattro aspetti del worm lo resero efficace:

  • Si affidava all'ingegneria sociale per invogliare gli utenti ad aprire l'allegato ed assicurarsi la sua propagazione continua.
  • Si basava su un algoritmo difettoso della Microsoft per nascondere le estensioni dei file. Windows inizialmente nascose le estensioni per default; l'algoritmo faceva il parsing dei nomi dei file da destra a sinistra, fermandosi al primo 'periodo' ('punto'). In questo modo l'exploit poteva inserire la seconda estensione del file 'TXT', la quale per l'utente appariva essere l'estensione reale; i file di testo erano considerati presumibilmente innocui.
  • Si basava sul fatto che il motore di scripting fosse abilitato. Questa era effettivamente un'impostazione di sistema; non è noto se il motore fosse stato utilizzato prima di ciò; la Microsoft ricevette pesanti critiche per aver lasciato uno strumento così potente (e pericoloso) abilitato di default senza che nessuno si preoccupasse della sua esistenza.
  • Sfruttava le debolezze di progettazione del sistema email, a causa delle quali un programma allegato poteva essere eseguito semplicemente aprendolo e fornire così completo accesso al file system e al registro.

Esistono centinaia di varianti di questo worm.

La diffusione incominciò nelle Filippine il 5 maggio 2000 e si propagò verso ovest, spostandosi quindi su Hong Kong e poi in Europa e negli Stati Uniti.[2] causando danni stimati in 5,5 miliardi di dollari.[3] Dal 13 maggio 2000, sono state riportate 50 milioni di infezioni.[4] Gran parte dei danni citati furono causati dalla fatica di liberarsi del worm. Il Pentagono, la CIA, e il Parlamento britannico dovettero spegnere i loro sistemi di posta per liberarsene, così come fecero molte grandi società per azioni.[5]
Il worm sovrascrisse file importanti (file musicali, multimediali, ecc.) con una copia di se stesso. Gli unici computer colpiti furono quelli che eseguivano sistemi operativi Microsoft Windows, perché il programma era scritto in Visual Basic Script e interfacciato con la rubrica di Outlook Windows; i computer che montavano un sistema operativo diverso, pur ricevendo l'email con la copia del worm, non venivano infettati.

Architettura del worm

[modifica | modifica wikitesto]

Il worm è scritto utilizzando Microsoft Visual Basic Script (VBS) e richiede che l'utente esegua lo script al fine di consegnare il carico utile. Aggiunge un numero di chiavi del registro di sistema in modo che il worm sia inizializzato al boot del sistema. Aggiunge le chiavi "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32", "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL", in modo che il worm venga eseguito all'avvio, "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page", con indirizzo "https://web.archive.org/web/20141219062303/http://www.skyinet.net/", in modo che la pagina iniziale non sia quella definita dell'utente, ma una diversa.

Il worm, quindi, cercherà tutte le unità di memorizzazione connesse al computer infetto e rimpiazzerà i file con l'estensione *.JPG, *.JPEG, *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.DOC *.HTA con copie di se stesso, aggiungendo l'estensione .VBS in fondo ai nomi dei file. Il worm troverà anche file *.MP3 e *.MP2, e quando trovati, li renderà nascosti, copierà se stesso con lo stesso nome del file e inserirà l'estensione .VBS.

Il worm inoltre crea una copia di se stesso nelle directory C:\Windows\ con nome "Win32DLL.vbs" e C:\Windows\System con il nome "LOVE-LETTER-FOR-YOU.TXT.vbs".

Il worm ha anche un componente aggiuntivo, nel quale scaricherà ed eseguirà un programma infetto chiamato indistintamente "WIN-BUGSFIX.EXE" o "Microsoftv25.exe" che serve per rubare le password che poi invierà per email.

Risultati legislativi

[modifica | modifica wikitesto]

Furono segnalati i fratelli filippini Irene e Onel de Guzmán di Manila[6] come presunti autori del virus; il ragazzo di Irene, Reomel Lamores fu tenuto in stato di fermo nel maggio 2000 in connessione con l'epidemia del worm insieme a Michael Buenafe, un compagno di studi di de Guzman al AMA Computer College.[7]. Onel finalmente si fece avanti ma negò d'aver programmato il worm, sebbene ammise di poter essere stato inavvertitamente responsabile della sua diffusione. Dal momento che non c'erano leggi nelle Filippine contro la scrittura di malware a quei tempi, fu scarcerato e in agosto i procuratori fecero cadere tutte le accuse a suo carico.

Nella cultura di massa

[modifica | modifica wikitesto]

Nel 2009, l'Upper Deck Entertainment commemorò il worm ILoveYou come parte di un insieme di figurine retrospettive per l'anniversario del XX secolo. L'insieme aveva come finalità la cronaca dei maggiori eventi sportivi, politici, di cultura pop, tecnologia e storia del mondo nei 20 anni successivi, dopo che la Upper Deck aveva iniziato la propria attività.[8][9]

Il worm è citato nel film del 2023 Il mondo dietro di te di Sam Esmail.

  1. ^ Il Disinformatico: 20 anni fa esplodeva il virus/worm Iloveyou, su Il Disinformatico, 8 maggio 2020. URL consultato l'8 maggio 2020.
  2. ^ ZDNet, su news.zdnet.com (archiviato dall'url originale il 28 aprile 2008).
  3. ^ ILOVEYOU, su catalogs.com, WHoWhatWhereWhenWhy.com. URL consultato il 26 maggio 2008.
  4. ^ Gary Barker, Microsoft Poteva Essere Vittima di Lovebug, in The Age, 13 maggio 2000.
  5. ^ Copia archiviata, su news.zdnet.com. URL consultato il 29 dicembre 2009 (archiviato dall'url originale il 24 giugno 2007). Parlamento Britannico spegne i suoi sistemi di posta per prevenire danni
  6. ^ CNN.com - Authorities seek to question pair in "Love Bug' attack - May 11, 2000, su archives.cnn.com. URL consultato il dicembre 29, 2009 (archiviato dall'url originale il 31 gennaio 2009).
  7. ^ https://www.theregister.co.uk/2005/05/11/love_bug_author/
  8. ^ Copia archiviata, su sports.upperdeck.com. URL consultato il 29 dicembre 2009 (archiviato dall'url originale il 16 dicembre 2009).
  9. ^ Copia archiviata, su sports.upperdeck.com. URL consultato il 29 dicembre 2009 (archiviato dall'url originale il 17 dicembre 2009).

Collegamenti esterni

[modifica | modifica wikitesto]
  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica