Найти тему
Лаборатория Касперского

Вирусное признание в любви по почте

Изучаем одну из самых известных вирусных эпидемий 22-летней давности — историю червя ILOVEYOU.

Давайте мысленно перенесемся в май 2000 года. Вы включаете свой рабочий компьютер, подключаетесь к Интернету и скачиваете свежую электронную почту в клиенте Microsoft Outlook. Сразу обращаете внимание на странное письмо с темой ILOVEYOU. В любви вам признается знакомый человек: возможно, школьная подруга, но еще интереснее, если это ваш руководитель в возрасте.

Как бы то ни было, это однозначно привлекает внимание, поэтому вы щелкаете по вложенному файлу с именем «LOVE-LETTER-FOR-YOU.TXT.VBS» и… вроде бы ничего не происходит. Лишь через некоторое время вы обнаруживаете, что важные документы на жестком диске безнадежно испорчены, а еще одно любовное послание разослано уже от вашего имени — по всем контактам в адресной книге вашего почтового клиента.

-2

Примерно так выглядело письмо с червем ILOVEYOU в старом почтовом клиенте Microsoft. Источник

ILOVEYOU был не первым зловредом, эксплуатирующим дыру в почтовых клиентах компании Microsoft. Но он точно инициировал одну из самых серьезных компьютерных эпидемий в начале нового тысячелетия. Давайте вспомним его историю и поговорим о том, как это событие повлияло на представления о безопасности компьютерных систем.

Контекст: Интернет как новая модная технология

2000-й год… Это было очень давно — из 2022-го кажется, будто это доисторические времена. Сейчас можно посмотреть архивные копии сайтов тех времен, достать из чулана старый ноутбук с Windows 98 и вспомнить, какими мы пользовались программами. Каменный век какой-то, правда? Не совсем. Конечно, технологии на рубеже тысячелетий, по нынешним временам, были примитивные. Абсолютное большинство пользователей подключались к сети по модему, и это было чудовищно медленно. Но прототипы практически всех современных сетевых сервисов тогда уже существовали.

Не было видеостриминга, но существовало потоковое радио. Имелся широкий выбор сетевых мессенджеров. Бешено развивалась интернет-торговля, хотя подчас было проще не делать заказ на сайте, а позвонить в магазин по телефону.

Вообще, в 2000 году любой сервис с приставкой «e-» (то есть электронный!), любые сетевые технологии получали массу внимания и инвестиций. Некоторое разочарование инвесторов наступило чуть позже, в 2001 году, когда множество интернет-стартапов обанкротилось, а в индустрии стало чуть меньше хайпа и чуть больше смысла.

Важный показатель популярности Интернета — выход в 1998 году на экраны популярного кинофильма «Вам письмо», наполовину романтической комедии, наполовину — рекламного ролика тогдашнего сетевого гиганта America Online.

Для нашей истории важно, что в конце девяностых Интернет перестал быть местом для избранных: в 2000 году в сеть выходили уже сотни миллионов людей. Соответственно, электронная почта уже тогда была важным инструментом общения и совместной работы для многих компаний и государственных структур, да и обычных домашних пользователей.

Но в мае 2000 года эта, как позже стало модно говорить, «цифровизация» на время была остановлена из-за вирусной эпидемии ILOVEYOU. Множество компаний были вынуждены на время выключить свои почтовые серверы, которые просто не справлялись с потоком из десятков тысяч любовных сообщений.

Предшественники: Concept.B и Melissa

Говоря строго, ILOVEYOU следует классифицировать как сетевого червя: это вредоносная программа, которая самостоятельно распространяется по сети. Еще одна ключевая особенность ILOVEYOU: изначальное заражение производится с помощью простейшей программы на языке программирования VBscript. VBscript, в свою очередь, развивает еще более древнюю идею макросов — по сути, простых программ, позволяющих автоматизировать определенные действия, например при работе с документами.

Чаще всего макросы используются для проведения сложных расчетов в электронных таблицах, например в программе Microsoft Excel. С древних времен макросы поддерживались и в Microsoft Word, например для автоматической генерации отчетов на основе данных, введенных в форму.

В 1995 году эту функциональность Word эксплуатировал вирус WM/Concept.A. Этот макровирус заражал документы Microsoft Word, и при открытии документа выводилось вот такое сообщение:

-3

Результат работы макровируса Concept.A. Источник

И это все. Вредоносной функциональности как таковой нет, просто слегка раздражает постоянно выскакивающее окно. Бывший сотрудник Microsoft Стивен Синофски, с 1998 по 2006 год отвечавший за разработку офисных решений компании, в своих мемуарах называет Concept.A первым сигналом: в этот момент стало понятно, что внедряемая во всех решениях Microsoft автоматизация может быть использована во вред. В итоге перед запуском макросов решили выводить предупреждение: в документе содержится программа, вы уверены, что хотите ее запустить?

Как только Microsoft начала внедрять ограничения по запуску макросов, авторы вредоносных программ занялись поиском способов эти ограничения обойти. Следующее громкое событие произошло в марте 1999 года. Как это было, описывает тот же Стивен Синофски: проверяешь почту, а тебе приходит сообщение с приложенным файлом и темой «Важное сообщение от…».

-4

Письмо, зараженное вирусом Melissa. Источник

А потом еще одно, от другого отправителя. И еще. А потом почта перестает работать: даже в Microsoft почтовый сервер не выдержал нагрузки. Это был интернет-червь Melissa. В приложенном документе Microsoft Word содержался вредоносный код, который рассылал сообщение через программу Microsoft Outlook первым 50 контактам из адресной книги.

О любви

Червь ILOVEYOU стал развитием идей, примененных в Melissa. Он не использовал какую-то уязвимость в продуктах Microsoft, а скорее задействовал штатную функциональность. Баг заключался только в том, что при запуске скрипта из почтового клиента Outlook не выводилось вообще никакого предупреждения.

Функциональность червя вовсе не ограничивалась рассылкой любовных сообщений всем адресатам. Помимо почтового спама от имени жертвы, он мог распространяться через мессенджер IRC (если тот был установлен на компьютере). Кроме того, червь загружал троянскую программу, которая отправляла создателю вируса пароли к почте и для доступа в Интернет. Наконец, он удалял, скрывал или портил файлы на жестком диске: музыку в формате MP3, изображения в формате JPEG, а также разнообразные скрипты или копии веб-страниц.

ILOVEYOU объединил в себе разработки из предыдущих макровирусов, улучшил то, что мы сейчас называем социальной инженерией (как не открыть файл с названием «Я люблю тебя»?), добавил вредоносную функциональность и использовал возможности автоматического распространения по максимуму.

По сообщениям «Лаборатории Касперского» и публикациям в СМИ тех времен можно восстановить последовательность событий. Уже в первый день, четвертого мая, зафиксированы «тысячи» зараженных систем. Девятого мая сообщается о 2,5 миллионах зараженных компьютеров, а это десятки миллионов электронных сообщений, отправляемых по всему миру.

Создатель вируса даже не пытался скрыть вредоносный код под видом офисного документа. Имя файла LOVE-LETTER-FOR-YOU.TXT.VBS отчасти эксплуатировало особенность почтовых клиентов Microsoft, которые показывали только первую часть длинного названия, что видно на скриншоте в начале статьи. Внутри был по сути открытый для всех интересующихся исходный код, что моментально привело к появлению множества вариаций интернет-червя. Вместо ILOVEYOU в теме письма начали появляться другие слова, в том числе «Осторожно, опасный вирус!». Вариант NewLove, обнаруженный 19 мая, удалял файлы уже не выборочно, а полностью уничтожал всю информацию на жестком диске.

Итоговые оценки последствий работы вируса ILOVEYOU следующие: были заражены до 10% подключенных к Интернету компьютеров, а общий ущерб, учитывающий также деструктивные действия ILOVEYOU и его вариантов, оценивается примерно в $10 миллиардов. Проблема широко обсуждалась в прессе, а в США даже проводились слушания в сенате.

Работа над ошибками

В 2022 году, зная всю историю от начала до конца, хочется спросить: а нельзя было как-то сразу предотвратить эпидемию такого тривиального вируса? Только 8 июня 2000 года компания Microsoft выпустила большое обновление безопасности для почтового клиента Outlook, в котором наконец-то были введены серьезные ограничения на запуск скриптов. Все почтовые вложения по умолчанию стали недоверенными, также были введены проверки в том случае, если стороннее приложение обращается к адресной книге Outlook или пытается отправить много писем одновременно.

-5

После обновления в июне 2000 года почтовый клиент Outlook предупреждает пользователя о доступе к адресной книге и о попытках отправить множество сообщений одновременно. Источник

Сразу так не сделали потому, что в Microsoft при выборе между безопасностью и удобством отдали предпочтение последнему. Еще в 1995 году, внедрив простейшее предупреждение в Microsoft Word («этот документ содержит макросы»), компания получила негативные отзывы от клиентов. В некоторых компаниях это дополнительное подтверждение ломало внутренние процессы, выстроенные на скриптах. Даже при разработке патча по следам ILOVEYOU вопрос «а не сломаем ли мы что-то у пользователей?» был на повестке дня, но тогда уже была очевидна необходимость повысить безопасность, и быстро.

Старый вирус, современные проблемы

Эпидемия ILOVEYOU подняла множество вопросов, актуальных в сфере информационной безопасности и по сей день. Самым важным из них видится такой: а нельзя ли рассылать патчи как-нибудь побыстрее? С этим определенно были проблемы: Microsoft выпустила набор заплаток для Outlook через месяц с лишним после начала эпидемии. Да и механизмы автоматической доставки этих обновлений были рудиментарными, в результате чего локальные «вспышки» почтовой болезни происходили потом еще достаточно долго.

Довольно выгодно в этом смысле себя уже тогда показала индустрия защитных решений. По воспоминаниям Евгения Касперского, обезопасить пользователей антивируса компании не составило труда. Уже тогда в защитном ПО была внедрена система регулярной доставки обновлений по сети, в то время как разработчикам программ других категорий понадобилось еще много лет, чтобы реализовать похожую схему быстрого распространения патчей. Немного позже были разработаны эвристические методы анализа, детектирующие и блокирующие вредоносные скрипты автоматически, даже если речь идет об их новой модификации.

Хотя защищенность популярных программ и операционных систем за прошедшие 22 года улучшилась на порядки, создатели вредоносных программ не без успеха находят новые лазейки для проведения успешных кибератак.

Вредоносные макросы также никуда не делись. В феврале 2022 года компания Microsoft пообещала ограничить возможность их распространения, запретив выполнение любых скриптов в офисных документах, полученных из Интернета. В начале июля 2022 года этот запрет отменили — логично предположить, что ответ на уже звучавший выше вопрос «а не сломаем ли мы что-то у пользователей?» оказался положительным. В конце июля в Microsoft снова решили блокировать макросы по умолчанию, но заодно объяснили всем желающим, как этот запрет обходить, если очень надо.

Масштабных эпидемий, когда какая-то вредоносная программа распространяется на десятки и сотни миллионов компьютеров, стало меньше, но сделать их совсем невозможными пока не удается. А вот что точно изменилось, так это способы монетизации кибератак, когда данные компаний и пользователей берут в заложники и требуют выкуп.

Закончим наш рассказ краткой справкой о судьбе создателя интернет-червя ILOVEYOU. Это Онель де Гузман, на момент эпидемии — 24-летний студент. В 2000 году сотрудники ФБР смогли определить, что первоначальные сообщения с вирусом были разосланы в популярные «листы рассылок» для пользователей из Филиппин, где до сих пор и живет де Гузман. В 2000 году он попал в список подозреваемых в авторстве ILOVEYOU. Но не получил наказания по двум причинам: недостаток улик и отсутствие на тот момент уголовной статьи за киберпреступления в местном законодательстве.

В 2020 году де Гузмана разыскали журналисты. Он рассказал им, что ILOVEYOU изначально не имел функции массовой рассылки по адресной книге Outlook, а создан был для кражи паролей для доступа в Интернет — его автору не хватало денег на оплату. Монетизировать свои вредоносные таланты де Гузману так и не удалось: на момент публикации статьи он работал в скромной мастерской по ремонту сотовых телефонов в Маниле.