EU AMO VOCÊ - ILOVEYOU
| Nome comum | EU AMO VOCÊ |
|---|---|
| Apelido | Bug de amor, carta de amor |
| Modelo | Worm de computador |
| Ponto de origem | Manila , Filipinas |
| Autor (es) | Onel de Guzman |
| Sistema (s) operacional (is) afetado (s) | Windows 9x , Windows NT 4.0 , Windows 2000 |
| Escrito em | VBScript |
ILOVEYOU , às vezes conhecido como Bug de Amor ou Carta de Amor para você , é um worm de computador que infectou mais de dez milhões de computadores pessoais com Windows em 5 de maio de 2000, quando começou a se espalhar como uma mensagem de e-mail com o assunto "ILOVEYOU" e o anexo "CARTA DE AMOR PARA VOCÊ.TXT.vbs". A última extensão de arquivo (' vbs ', um tipo de arquivo interpretado ), era mais frequentemente oculta por padrão em computadores Windows da época (pois é uma extensão para um tipo de arquivo conhecido pelo Windows), levando usuários involuntários a pensar era um arquivo de texto normal. Abrir o anexo ativa o script do Visual Basic . O worm causa danos à máquina local, sobrescrevendo tipos aleatórios de arquivos (incluindo arquivos do Office, arquivos de imagem e arquivos de áudio; no entanto, após sobrescrever arquivos MP3, o vírus oculta o arquivo) e envia uma cópia de si mesmo para todos os endereços no Windows Catálogo de endereços usado pelo Microsoft Outlook . Isso o fez se espalhar muito mais rápido do que qualquer outro worm de e-mail anterior.
O malware foi criado por Onel de Guzman, então residente de Manila , Filipinas , com 24 anos . Como não havia leis nas Filipinas contra a criação de malware no momento de sua criação, o Congresso das Filipinas promulgou a Lei da República nº 8.792, também conhecida como Lei do Comércio Eletrônico, em julho de 2000, a fim de desencorajar iterações futuras dessa atividade . A Constituição das Filipinas proíbe as leis ex post facto , no entanto, e como tal, de Guzman não poderia ser processado.
Criação
ILOVEYOU foi criado por Onel De Guzman, um estudante universitário em Manila, Filipinas, que tinha 24 anos na época. De Guzman, que era pobre e lutava para pagar pelo acesso à Internet na época, criou o worm de computador com a intenção de roubar as senhas de outros usuários, que ele poderia usar para fazer login em suas contas de Internet sem precisar pagar pelo serviço. Ele justificou suas ações com base na crença de que o acesso à Internet é um direito humano e que na verdade ele não estava roubando.
O worm usava os mesmos princípios que de Guzman havia descrito em sua tese de graduação na AMA Computer College . Ele afirmou que o worm era muito fácil de criar, graças a um bug no Windows 95 que rodava código em anexos de e-mail quando o usuário clicava neles. Projetando originalmente o worm para funcionar apenas em Manila, ele removeu essa restrição geográfica por curiosidade , o que permitiu que o worm se espalhasse pelo mundo todo. De Guzman não esperava essa propagação mundial.
Descrição
No nível do sistema da máquina, ILOVEYOU dependia da configuração do sistema do mecanismo de script (que executa arquivos de linguagem de script, como arquivos .vbs) sendo ativada e aproveitou um recurso do Windows que ocultava extensões de arquivo por padrão, que os autores de malware usariam como uma façanha . O Windows analisaria os nomes dos arquivos da direita para a esquerda, parando no primeiro caractere de ponto, mostrando apenas os elementos à esquerda deste. O anexo, que tinha dois pontos, podia, portanto, exibir a falsa extensão de arquivo "TXT" interna. Os arquivos de texto verdadeiros são considerados inócuos, pois são incapazes de executar código executável . O worm usava engenharia social para estimular os usuários a abrir o anexo (por desejo real de conexão ou simples curiosidade) para garantir a propagação contínua. Fraquezas sistêmicas no design do Microsoft Outlook e do Microsoft Windows foram exploradas para permitir que o código malicioso fosse capaz de obter acesso completo ao sistema operacional, armazenamento secundário e dados do sistema e do usuário, simplesmente através de usuários involuntários clicando em um ícone.
Espalhar
As mensagens geradas nas Filipinas começaram a se espalhar para o oeste por meio de sistemas de e-mail corporativos. Como o worm usava listas de discussão como fonte de alvos, as mensagens freqüentemente pareciam vir de conhecidos e, portanto, eram frequentemente consideradas "seguras" por suas vítimas, fornecendo incentivo adicional para abri-las. Apenas alguns usuários em cada site tiveram que acessar o anexo para gerar milhões de mensagens a mais que paralisaram os sistemas de correio e substituíram milhões de arquivos em computadores em cada rede sucessiva .
Impacto
O worm se originou no bairro de Pandacan em Manila, nas Filipinas, em 4 de maio de 2000, após o amanhecer no oeste do mundo, quando os funcionários começaram seu dia de trabalho naquela manhã de sexta-feira, mudando-se primeiro para Hong Kong, depois para a Europa e, finalmente, para os Estados Unidos. Posteriormente, estimou-se que o surto causou US $ 5,5–8,7 bilhões em danos em todo o mundo, e estimado em US $ 10–15 bilhões para remover o verme. Em dez dias, mais de cinquenta milhões de infecções foram relatadas e estima-se que 10% dos computadores conectados à Internet no mundo foram afetados. Os danos citados foram principalmente o tempo e o esforço gastos para se livrar da infecção e recuperar arquivos de backups. Para se protegerem, o Pentágono , a CIA , o Parlamento britânico e a maioria das grandes corporações decidiram encerrar completamente seus sistemas de correio. Na época, foi um dos desastres relacionados a computadores mais destrutivos do mundo.
Os eventos inspiraram a música "E-mail" no álbum dos dez primeiros do Pet Shop Boys no Reino Unido em 2002, Release , cujas letras tocam tematicamente nos desejos humanos que permitiram a destruição em massa dessa infecção de computador.
Arquitetura
O script ILOVEYOU (o anexo) foi escrito em Microsoft Visual Basic Scripting (VBS), que é executado no Microsoft Outlook e foi habilitado por padrão. O script adiciona dados do Registro do Windows para inicialização automática na inicialização do sistema.
O worm pesquisa unidades conectadas e substitui arquivos com extensões JPG , JPEG , VBS , VBE, JS , JSE, CSS , WSH , SCT, DOC , HTA , MP2 e MP3 por cópias de si mesmo, enquanto acrescenta a extensão de arquivo adicional VBS, tornando o computador do usuário não inicializa. No entanto, MP3s e outros arquivos relacionados ao som seriam ocultados em vez de substituídos.
O worm se propaga enviando uma cópia da carga útil para cada entrada no catálogo de endereços do Microsoft Outlook (Catálogo de Endereços do Windows). Ele também baixa o trojan Barok renomeado para a ocasião como "WIN-BUGSFIX.EXE".
O fato de o worm ter sido escrito em VBS fornecia aos usuários uma maneira de modificá-lo. Um usuário pode facilmente modificar o worm para substituir arquivos importantes no sistema e destruí-lo. Isso permitiu que mais de 25 variações de ILOVEYOU se propagassem pela Internet, cada uma causando diferentes tipos de danos. A maioria das variações tem a ver com quais extensões de arquivo foram afetadas pelo worm. Outros simplesmente modificaram o assunto do e-mail para torná-lo direcionado a um público específico, como a variante "Cartolina" em italiano ou a variante "BabyPic" para adultos. Outros apenas modificaram os créditos ao autor, originalmente incluídos na versão padrão do vírus, removendo-os completamente ou referenciando falsos autores.
Algumas mensagens de correio enviadas por ILOVEYOU:
- ALERTA DE VÍRUS !!
- Importante! Leia cuidadosamente!!
Investigação
Em 5 de maio de 2000, dois jovens programadores filipinos chamados Reonel Ramones e Onel de Guzman foram alvos de uma investigação criminal por agentes do National Bureau of Investigation (NBI) das Filipinas . O provedor de serviços de Internet local Sky Internet relatou o recebimento de vários contatos de usuários de computador europeus, alegando que malware (na forma do worm "ILOVEYOU") foi enviado através dos servidores do ISP.
De Guzman tentou esconder as evidências removendo seu computador de seu apartamento, mas ele acidentalmente deixou alguns discos que continham o worm, bem como informações que envolviam Michael Buen como um possível co-conspirador.
Após vigilância e investigação por Darwin Bawasanta da Sky Internet, o NBI rastreou um número de telefone que aparecia com frequência até o apartamento de Ramones em Manila . Sua residência foi revistada e Ramones foi preso e colocado sob investigação pelo Departamento de Justiça (DOJ) . Onel de Guzman também foi acusado à revelia .
Nesse ponto, o NBI não tinha certeza de qual crime ou crime se aplicaria. Foi sugerido que eles seriam acusados de violar o Republic Act 8484 (o Access Device Regulation Act), uma lei destinada principalmente a penalizar a fraude de cartão de crédito , uma vez que ambos usaram cartões de Internet pré-pagos (se não roubados) para comprar acesso aos ISPs. Outra ideia era que eles seriam acusados de fraude maliciosa , um crime (de acordo com o Código Penal Revisto das Filipinas de 1932) envolvendo danos à propriedade. A desvantagem aqui era que um de seus elementos, além dos danos à propriedade, tinha a intenção de causar danos, e de Guzman alegou durante as investigações de custódia que ele poderia ter liberado o worm involuntariamente. Numa conferência de imprensa organizada pelo seu advogado a 11 de Maio, disse "É possível" quando questionado se o poderia ter feito.
Para mostrar a intenção, o NBI investigou a AMA Computer College , onde de Guzman havia desistido no final de seu último ano. Eles descobriram que, para sua tese de graduação, de Guzman havia proposto a implementação de um trojan para roubar senhas de login da Internet. Dessa forma, ele propôs, os usuários finalmente seriam capazes de pagar uma conexão com a Internet. A proposta foi rejeitada pelo conselho do College of Computer Studies , levando de Guzman a alegar que seus professores eram tacanhos.
Rescaldo
Como não havia leis nas Filipinas contra a criação de malware na época, Ramones e de Guzman foram libertados com todas as acusações retiradas pelos promotores estaduais. Para resolver essa deficiência legislativa, o Congresso das Filipinas promulgou a Lei da República nº 8.792, também conhecida como Lei do Comércio Eletrônico, em julho de 2000, meses após o surto do worm.
Em 2012, o Smithsonian Institution nomeou ILOVEYOU o décimo vírus de computador mais virulento da história.
De Guzman não queria atenção do público. Sua última aparição pública conhecida foi na conferência de imprensa de 2000, onde ele obscureceu o rosto e permitiu que seu advogado respondesse à maioria das perguntas; seu paradeiro permaneceu desconhecido por 20 anos depois. Em maio de 2020, o jornalista investigativo Geoff White revelou que enquanto pesquisava seu livro de crimes cibernéticos Crime Dot Com , ele encontrou Onel de Guzman trabalhando em uma barraca de conserto de telefones celulares em Manila. De Guzman admitiu ter criado e liberado o vírus. Ele alegou que inicialmente o desenvolveu para roubar senhas de acesso à Internet, uma vez que não podia pagar pelo acesso. Ele também afirmou que o criou sozinho, eliminando os outros dois que haviam sido acusados de co-escrever o worm.
Veja também
- Árvore de Natal EXEC
- Verme código vermelho
- Vírus de computador
- Nimda (worm de computador)
- Linha do tempo de vírus e worms de computador notáveis