VBS/Iloveyou je nový vírus, ktorý sa šíri elektronickou poštou. Len pre porovnanie, ak vírus W97M/Melissa potreboval k celosvetovému rozšíreniu tri dni, IWorm/ExploreZip to už zvládol za deň. Na nainfikovanie miliónov počítačov v Ázii, Európe a Spojených štátoch stačili VBS/Iloveyou tri hodiny. Cestou „zložil“ pár tisíc televíznych, finančných i obchodných spoločností a preťažil prenosové linky.
V nemeckej redakcii novín Abendblatt v Hamburgu, mohli správcovia siete vidieť vírus v akcii, keď im spod rúk „odišlo“ 2000 digitálnych fotografií z ich obrazového archívu. V Belgicku došlo k vypnutiu ATM prepínačov, teda aj internetu v takmer celej krajine. Svoje obchodovanie bola nútená zastaviť parížska kozmetická spoločnosť LOréal, obdobne bolo postihnutých ďalších 70% spoločností, ako napríklad Ford, Siemens, Silicon Graphics, alebo Microsoft…
Nebezpečné červy Vzhľadom na spôsob šírenia sa tento druh vírusu radí do kategórie Worms (červy). Principiálne je z hľadiska šírenia totožný s červom W97.Melissa. A, ktorý minulý rok napadol tisíce počítačov po celom svete. Vírus W97. Melissa. A použil pre svoje šírenie tiež emailové systémy založené na klientskej aplikácii MS Outlook. Jeho prostredníctvom automaticky rozosielal svoje kópie na adresy uložené v adresári MS Outlooku. Napriek tomu, že okrem šírenia svojich kópií nevykonával žiadnu nebezpečnú činnosť, len v Spojených štátoch tento vírus spôsobil škody za 7,6 miliardy USD. Vzhľadom na rýchlosť šírenia nového vírusu môžeme očakávať, že celkovo bude napadnutých oveľa viac počítačov, než v prípade Melissy. Škody sa znásobia nielen deštrukčnou činnosťou tohoto vírusu, ale aj počtom napadnutých systémov. Podľa odhadov spravodajskej spoločnosti CNN ničivý účinok nového vírusu zapríčiní celkovú stratu niekoľko miliárd USD. Odtienení ostali používatelia iných operačných systémov, ako napríklad užívatelia LINUXU, ktorých sa ani vírus MELISSA, ani vírus ILOVEYOU nedotkli. Zdá sa, že zákernejšie typy vírusov, ktoré čakajú v operačnej pamäti a sledujú činnosť užívateľa, pomaly s dokonalejšími antivírusovými systémami vymierajú. Ostáva tu iná generácia vírusov, ktorá stavia na ľudskej zvedavosti a nepoučiteľnosti.
Prvé správy o infikovaných počítačoch boli zachytené z Hong Kongu, kde sa vírus objavil vo štvrtok popoludní. Európu zasiahol nepripravenú vo štvrtok skoro ráno (Honk Kong má voči nám časový posun +7 hodín). Veľká väčšina spoločností, ktoré sú pripojené na celosvetovú počítačovú sieť, boli nútené odstaviť niektoré služby svojich počítačových sietí. Hneď po objavení vírusu začali najväčšie antivírové spoločnosti distribuovať jeho vzorky (fingerprints). Užívatelia týchto antivírových (AV) programov sa tak mohli pomocou svojho počítača priamo z domu spojiť cez internet s centrálnymi databázami antivírových spoločností a spraviť update (aktualizáciu) svojich AV programov, ktoré potom dokázali vírus odhaliť a odstrániť.
„Vírus sa prvýkrát objavil na mojom počítači asi pred hodinou“ povedal pre CNN antivírusový špecialista Snorre Fagerland. „Obyčajne vieme pár dní dopredu, kým nás vírus zasiahne, ale tento sa zdá byť neobyčajne agresívny. Vírus Melissa posielal svoju kópiu len na prvých 50 adries z vášho address booku (súbor obsahujúci emailové adresy) a nebol deštrukčný.“ Deštrukčná činnosť VBS/Iloveyou je zameraná na niektoré typy súborov, ktoré prepisuje, takže o ne nenávratne prichádzate.
Šikovne zvolené meno Užívateľ elektronickou poštou dostane infikovaný súbor s názvom ILOVEYOU s textom „pozri si pripojený súbor LoveLetter odo mňa“. Pripojený súbor LOVE-LETTER-FOR-YOU.TXT.vbs samozrejme neobsahuje milostný dopis, ale kópiu vírusu. Zdá sa, že rozumne zvolené meno prílohy je jednou z príčin mimoriadne úspešného šírenia tohoto vírusu. Mnohí užívatelia ho otvorili v pevnej viere, že súbor s príponou.txt nemôže byť nebezpečný. K svojmu životu vírus potrebuje inštalovaný Windows Scripting Host, ktorý je súčasťou operačných systémov Windows 2000 a Windows 98, ale môže byť tiež nainštalovaný s Office 2000 alebo s Internet Explorerom 5. Svoje kópie vírus umiestni do adresára, v ktorom sú nainštalované Windows a do systémového adresára Windows, pričom vírus sa bude spúšťať pri každom štarte počítača.
V registroch ďalej upraví nastavenie Internet Exploreru tak, že presmeruje Download Directory na C: a štartovaciu stránku na odkaz na súbor WIN-BUGSFIX.exe, ktorý bol umiestnený na štyroch rôznych osobných stránkách na www. skyinet.net. Tvorca správne predpokladal, že server Skyinet bude tak vyťažený požiadavkami rozmnoženého vírusu, že bude potrebná viac než jedna kópia tohoto programu. Tento program sa snaží vyhľadať vaše heslá a informácie o spôsobe vášho pripojenia k internetu cez telefón a odoslať to na adresu mailme@super.net.ph. V tejto časti sa vírus náhodne rozhoduje, odkiaľ zo štyroch existujúcich miest bude daný program sťahovať. Vďaka rýchlej reakcii správcu servera boli tieto stránky, vzápätí čo sa vírus začal šíriť, odstránené. Odvtedy vírus strácal na sile a už nedokázal zisťovať užívateľské heslá. Za ten čas bolo poškodených len niekoľko stoviek počítačov v Európe. Vo svojom zvyšnom deštrukčnom programe však neprestal. Skontroloval emailové adresy vo vašom v adresári MS Outlooku a rozoslal sa na všetky adresy z tohoto adresára.
Likvidačná činnosť Okrem šírenia elektronickou poštou dokáže VBS/Iloveyou zneužiť aj program na dopisovanie si cez počítač v reálnom čase (mIRC). Vyrobí súbor LOVE-LETTER-FOR-YOU.HTM a upraví SCRIPT.INI tak, aby bol tento súbor rozosielaný účastníkom kanálov, na ktorých si niekto z infikovaného prostredia dopisuje. V preklade do slovenčiny: vírus vyrobí webovú stránku a pošle ju niekomu, s kým si práve na počítači dopisujete. Váš spoludopisovateľ stránku dostane a otvorí si ju netušiac, čo môže byť na webovej stránke nebezpečné. Aby si vírus zaistil úspešné prežitie na vašom počítači, preskúma obsah všetkých vašich lokálnych diskov a sám sebou prepíše súbory s príponami .vbs a .vbe. Súbory s ďalšími príponami zlikviduje a miesto nich vytvorí svoju kópiu s pôvodným menom, ale s príponou .vbs, alebo použije rôzne iné ničiace praktiky. Povedané rečou človeka nepracujúceho v brandži – vírus „maže, maže a maže“. Podľa správania vírusu sa dá predpokladať, že jeho autor má radšej hudbu, než obrázky. VBS/Iloveyou totiž k existujúcim súborom s príponami .jpg, .jpeg, vytvára svoje kópie s rovnakým menom a doplnenou príponou, ale hudobné súbory .mp2 a .mp3 na disku nechá a nezlikviduje ich tak, ako obrázky.
Ak užívateľ priložený Love Letter neotvoril, ale vymazal ho, jeho počítač ostal nenainfikovaný. Do 9. mája 2000 sa v počítačových sieťach našlo 29 „zmutovaných“ verzií VBS. LoveLetter vírusu. Paradoxne, mnohé z nich v názve niesli varovanie pred vírusom VBS. Love Letter a ponúkali postup na odstránenie. Ale namiesto toho ste opäť otvorili (spustili) vírus. V tele vírusu je možné nájsť niektoré komentáre, ktoré – ak sú pravdivé – pomáhajú softvérovým špecialistom pri pátraní po tvorcoch vírusu. Keď sa pozrieme na kód vírusu, zistíme, že je podpísaný menom „spyder“ a obsahuje anonymné emailové adresy i názov spoločnosti GRAMMERSoft Group. V tele vírusu je tiež text „Manila, Philippines,“ a poznámka „i hate go to school.“ (nenávidím chodiť do školy).
Podozriví hackeri Zaujímavé je, že v záhlaví vírusu sa nachádza slovo „barok“. V januári tohoto roku sa internetom šíril ďalší výstrelok programátorov, a práve toto slovo bolo tiež zapísané v tele uvedeného januárového vírusu. Vyzerá to tak, že ide o rovnakého programátora. Vírus „barok“ mal v sebe pár odkazov: „Varovanie: Ak nenájdem prácu do konca mesiaca, vypustím tretí vírus, ktorý odstráni všetky adresáre z vášho primárneho disku…“ Ďalej obsahuje správu „Ďakujem Byronovi za zapožičanie počítača a poskytnutie nápadov, kníh a času. Používam jeho počítač každú sobotu a nedeľu len na písanie tohoto vírusu. A tiež ďakujem skupine programátorov GRAMMERSoft hlavne LIENQ-ovi. Viem, do pekla, čo za hackerskú prácu všetci robíme, ale nevadí, je to len legálne štúdium.“. Massachusettský počítačový špecialista Richard M. Smith preložil správu, ktorú našiel v programe WIN-BUGFIX.exe „BAROK… student of amacc mkt. phils“, ako „BAROK … študent z univerzity AMA Computer Colledge, Makati, Philipíny“
Ďalšou podozrivou osobou sa stal Onel de Guzman. Vyšetrovatelia predvolali na súd tiež sestru Onel de Guzmana – Irenu de Guzman. Vďaka spoločnosti Sky Internet sa zistilo, že vírus bol spustený do siete z bytu Onela a jeho sestry. Spoločnosť Sky Internets umožňuje firmám a súkromným osobám pripojenie na internet. Má dobre vypracovaný systém kontrolovania hovorov a telefónnych čísiel, z ktorých sa používatelia cez nich na internet pripájajú. Ide o funkciu Caller ID, ktorá je akýmsi ekvivalentom slovenskej služby CLIP na mobilnej sieti. Je zarážajúce, že takúto samozrejmú vec páchatelia prehliadli.
V pondelok 8. mája 2000 filipínske úrady v Manile zadržali 27 – ročného bankového zamestnanca Reomela Ramoresa spolu s jeho priateľkou, ktorých tiež upodozrievajú zo spolupráce na tvorbe vírusu ILOVEYOU. Zdá sa však, že úrady majú na Filipínach spútané ruky nedostatočnou prepracovanosťou filipínskych zákonov o počítačovej trestnej činnosti. Polícia zisťovala pôvod počítača, na ktorom bol napísaný vírus. Vlastníčkou je žena, ale k počítaču mali prístup traja používatelia. V súvislosti s rozšírením vírusu ILOVEYOU bol zatknutý Reomel Ramores z Filipín, podozrievaná je tiež jeho priateľka a jej sestra. Páchateľom hrozí odňatie slobody od 6 do 20 rokov a veľký finančný trest. Programátori na slobode však neváhajú, čoskoro na to zabudnú a vymyslia lepší vírus, do ktorého oni sa už nebudú takto nerozvážne podpisovať. Možno nevedia, že aj bez podpisu bude vírus ich počítačom „podpísaný“.
Autor (1972) je analytik – programátor