Ultima modifica da un moderatore:
1 Introduzione
ILOVEYOU è il nome del worm che si diffuse come allegato tramite mailing list nell'ormai lontano 5 maggio del 2000.
Questo worm è stato capace di infettare più di 10 milioni di pc, mettendo in ginocchio diverse organizzazioni e causando, secondo una stima, tra i 5,5 e gli 8 miliardi di dollari di danni.
Fu creato dal filippino Onel de Guzman il quale fu anche responsabile della diffusione del worm e che non fu mai incriminato per il fatto.
Bastavano pochi utenti che aprissero l'allegato per generare i milioni di messaggi che paralizzarono i sistemi, oltre al fatto che il worm sovrascrisse milioni di file su computer client e server accessibili.
Il codice malevolo era contenuto nell'allegato della mail denominato LOVE-LETTER-FOR-YOU.TXT.vbs che era sostanzialmente un file eseguibile scritto in visual basic e denominato per sembrare un semplice file di testo .txt, dal momento che windows nascondeva le estensioni di default, inducendo quindi la vittima ad aprire l'apparentemente innocuo file anche grazie alla spinta della curiosità.
La cosa interessante è che il worm non sfruttava alcuna vulnerabilità dei sistemi Microsoft mentre, invece, ne utilizzava le funzionalità standard (occultamento delle estensioni).
L’unico vero bug era l’assenza di un messaggio di avviso quando lo script veniva lanciato dal client di posta Outlook.
Questo worm è stato capace di infettare più di 10 milioni di pc, mettendo in ginocchio diverse organizzazioni e causando, secondo una stima, tra i 5,5 e gli 8 miliardi di dollari di danni.
Fu creato dal filippino Onel de Guzman il quale fu anche responsabile della diffusione del worm e che non fu mai incriminato per il fatto.
2 Diffusione
ILOVEYOU si è diffuso molto rapidamente autoreplicandosi via e-mail, infatti utilizzava le mailing list come fonti per i destinatari, i messaggi spesso apparivano come provenienti da conoscenti e venivano pertanto considerati "sicuri", fornendo ulteriori incentivi ad aprire l'allegato malevolo.Bastavano pochi utenti che aprissero l'allegato per generare i milioni di messaggi che paralizzarono i sistemi, oltre al fatto che il worm sovrascrisse milioni di file su computer client e server accessibili.
Il codice malevolo era contenuto nell'allegato della mail denominato LOVE-LETTER-FOR-YOU.TXT.vbs che era sostanzialmente un file eseguibile scritto in visual basic e denominato per sembrare un semplice file di testo .txt, dal momento che windows nascondeva le estensioni di default, inducendo quindi la vittima ad aprire l'apparentemente innocuo file anche grazie alla spinta della curiosità.
La cosa interessante è che il worm non sfruttava alcuna vulnerabilità dei sistemi Microsoft mentre, invece, ne utilizzava le funzionalità standard (occultamento delle estensioni).
L’unico vero bug era l’assenza di un messaggio di avviso quando lo script veniva lanciato dal client di posta Outlook.
3 Funzionamento
Come prima azione veniva subito danneggiato il computer vittima che apriva l'allegato sovrascrivendo file a caso comprese immagini e documenti Microsoft office, i file MP3 invece venivano solamente nascosti invece di essere eliminati.Una volta fatto ciò ILOVEYOU creava una copia di se stesso nella rubrica dei contatti di Windows usata da Outlook rendendo la sua diffusione molto veloce di qualsiasi altro worm creato precedentemente.
Oltre ad inviare messaggi d’amore a tutti i destinatari per conto della vittima, il worm aveva un componente aggiuntivo che scaricava un programma Trojan, WIN-BUGSFIX.EXE" o "Microsoftv25.exe", che inviava le password degli accessi e-mail e internet all’artefice del malware.
Il worm modificava anche il registro di sistema aggiungendo delle chiavi in modo che fosse inizializzato al boot del sistema.
Aggiungeva le chiavi:
In modo da essere eseguito all'avvio."HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32" "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL"
E anche:
"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page"
Con indirizzo "https://web.archive.org/web/20141219062303/http://www.skyinet.net/", in modo che la pagina iniziale non fosse più quella definita dell'utente, comportandosi anche come un hijacker.
ILOVEYOU cercava le unità di memorizzazione connesse al computer vittima e rimpiazzava i file con l'estensione *.JPG, *.JPEG, *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.DOC *.HTA con copie di se stesso, aggiungendo l'estensione .VBS in fondo ai nomi dei file.
Come accennato prima cercava anche file *.MP3 e *.MP2, e quando trovati, li rendeva nascosti, copiava se stesso con lo stesso nome del file e inseriva l'estensione .VBS.
Il worm inoltre creava una copia di se stesso nelle directory C: \Windows\ con nome "Win32DLL.vbs" e C: \Windows\System con il nome "LOVE-LETTER-FOR-YOU.TXT.vbs".
Per analizzare il codice è possibile recuperarlo qui:
Per vedere questo contenuto, devi Accedere o Registrarti.
4 Considerazioni
La portata dei danni di questo worm sono stati enormi ed è riuscito a realizzare la più grande epidemia informatica colpendo organizzazioni come il pentagono, la CIA e il parlamento britannico.ILOVEYOU ha segnato per sempre la storia dell'informatica e nonostante i danni ha avuto il merito di cambiare la percezione della sicurezza informatica e l'importanza dell'installazione di patch e degli aggiornamenti.
Putroppo però il punto di forza (forse il più significativo di tutti) di ILOVEYOU si è dimostrato il social engineering, grazie a questa tecnica si è potuto diffondere con molta più facilità facendo leva sulla curiosità degli utenti di aprire una presunta dichiarazione di amore di un conoscente.
Nonostante l'esperienza di questo caso purtroppo ancora oggi il social engineering rimane il metodo più efficace per ottenere credenziali, effettuare frodi bancarie e diffondere ransomware come nel caso di wannacry avvenuto nel 2017 e anch'esso diffuso tramite allegato mail.