Bilo je preprosto, a zelo destruktivno. Hrošč 'Love' je uporabil trik, da bi žrtve prisilil, da ga odprejo - in delovalo je.
Črv ILOVEYOU je prizadel več sto tisoč računalnikov v Aziji, Evropi in Združenih državah, ko so delavci kliknili na e-poštno priponko z imenom LOVE-LETTER-FOR-YOU.TXT.vbs.
Pozno v četrtek se je črv obrnil. Nekateri uporabniki so poročali, da so prejeli enako grdo e-pošto, vendar tisto, ki je besedo "ljubim te" nadomestila z "zelo smešno šalo".
Toda nihče se ni smejal. Ekipa za odzivanje na računalniške nujne primere na univerzi Carnegie-Mellon je poročala o 270.000 prizadetih računalnikih. Podjetje za računalniško varnost Network Associates je ocenilo, da 1500 strank - potencialno več deset tisoč računalnikov -- jih je prizadela okužba z gozdnimi požari, kar je za polovico preseglo število strank, ki jih je nazadnje prizadel ogromen virus Melissa leto.
Kljub vsemu črv ni pomenil veliko več kot opevani melisin virus s posipom več drugih virusnih "tehnologij", ki so prizadele uporabnike v zadnjih 12 mesecih, je dejal David Chess, raziskovalec pri IBM-u. Corp. (
ibm) T.J. Raziskovalni center Watson."To zagotovo ni tour-de-force programiranja," je dejal. "Samo nekako kaže, kako preprosto je pisati takšne stvari."
Richard M. Smith, programer, ki je pomagal prijeti avtorja virusa Melissa iz leta 1999, je dejal, da je bil presenečen nad tem, kako hitro se širi e-poštni črv ILOVEYOU.
»Tako mamljivo je. Prejmete sporočilo, ki pravi: 'Ljubim te' in resnično si želiš odpreti to priponko, da vidiš, kaj se dogaja."
Enostavno, a učinkovito. Brezplačni ponudnik e-poštnih nabiralnikov MailZone.net je v četrtek našel več kot 11.000 okuženih e-poštnih sporočil, potem ko je začel pregledovati viruse v sporočilih, ki vstopajo v njegov sistem.
Trend Microov spletni iskalnik virusov HouseCall je našel več kot petino vseh računalnikov, ki so uporabljali storitev -- več kot 1000 strojev -- je imelo kopije črva, pri čemer je imel vsak računalnik povprečno 600 okuženih datoteke.
Z enoletnimi izkušnjami bi javnost morala vedeti bolje, kot klikati na neznane priložene datoteke, je dejal David Perry, tiskovni predstavnik proizvajalca protivirusne programske opreme Trend Micro Inc. (tmic) "Zakaj so ljudje dvakrat glasovali za Nixona? Ali Clinton? Enostavno se ne učijo,« je dejal.
Toda klikanje na takšne priponke ni vedno nerazumna izbira. Samo vprašajte Stevena McGhieja.
Direktor razvoja internetnega poslovanja za Talk2.com iz Salt Lake Cityja, McGhie, je v četrtek uporabil Microsoft Outlook iz hotelske sobe v San Franciscu, da je dobil svojo jutranjo e-pošto. Med peščico sporočil je bilo eno od njegovega brata z "LJUBIM TE" v zadevi.
Sprva se je poslovnež spraševal, kaj se dogaja. V nekaj trenutkih pa je od svojega brata prejel več podvojenih sporočil. O virusu je bilo tudi sporočilo enega od sistemskih skrbnikov Talk2.com.
Do takrat je McGhiejev računalnik že generiral sporočila vsem na njegovem seznamu stikov. Poklical je sistemskega administratorja, ki mu je rekel, naj takoj izključi telefonsko linijo.
Minile so le tri minute, odkar se je prijavil, a virus je ustvaril skoraj 600 e-poštnih sporočil. Večina jih je bila v njegovem predalu za pošiljanje, ko je McGhie potegnil vtič, vendar jih je bilo poslanih približno 50.
McGhie je dejal, da nima pojma, kako je njegov brat prejel e-poštnega črva.
Osebni računalniki, okuženi s črvom, prejmejo dvojni udarec.
Prvič, takoj ko uporabnik odpre datoteko črva (običajno z dvojnim klikom), zlonamerna koda dostopa do Outlookovega adresarja in pošlje svojo kopijo vsakemu vnosu. Kot je pričal McGhie, ustvarjanje izjemnega števila sporočil ne vzame skoraj nič časa.
Drugič, črv se prekopira v vsako skriptno datoteko in več večpredstavnostnih datotek, pri čemer v bistvu izbriše njihovo prejšnjo vsebino.
Datoteka bo izbrisala slike (jpg in jpeg), skripte Visual Basic (vbs in vbe) ter Java (je in jse). Glasbene datoteke (mp3 in mp2) so skrite, na njihovo mesto pa se postavi istoimenska datoteka, ki vsebuje skript črva in pripono datoteke .vbs.
Črv okuži tudi datoteke na omrežnih in preslikanih diskih ter se pošlje ljudem, ki se pridružijo klepetalnici z okuženim članom.
Končno bo virus poskušal stopiti v stik z enim od štirih spletnih mest na Filipinih, ki imajo za prenos pripravljeno datoteko WIN-BUGSFIX.exe. Ponudnik internetnih storitev je te strani od takrat onemogočil ki jih je nehote gostil.
Ključ do ILOVEYOU je makro jezik za operacijski sistem Windows, znan kot Visual Basic Script.
Za računalnike, ki imajo vklopljen skriptni jezik -- privzeta Microsoftova nastavitev za Windows 98 -- VBS lahko omogoči dostop do skoraj vseh sistemskih funkcij: kopiranje, brisanje in spreminjanje datotek je vse mogoče.
Rob Rosenberger, urednik spletne strani Computer Virus Myths Homepage, meni, da Microsoft (msft) bi morali možnost izvajanja takšnih skriptov že zdavnaj odstraniti iz Outlooka. "Zakaj bi morali ljudje izvajati skripte v e-pošti?" je jezen vprašal. »To bi bilo treba že zdavnaj obravnavati.
Lovec na viruse Smith se je strinjal s tako preprostimi spremembami Microsoftove programske opreme.
"Mislim, da moramo Windows de-nastaviti in narediti manj zmogljivega," je dejal. "Večina ljudi ne potrebuje skriptiranja VB in ga nikoli ne uporablja. Zdi se, da se največ uporablja za pisanje računalniških virusov."
Uporabniki, ki želijo vzeti stvari v svoje roke in onemogočiti skriptnega gostitelja, lahko to storijo na nadzornih ploščah > Dodaj/odstrani programe > Nastavitve sistema Windows > Pripomočki in počistite istoimenski izbor.
Ne da bi Smith krivil Microsoft. "To je nekakšno vprašanje korporativne kulture. Ko delaš kladiva, je vse videti kot žebelj. Programerji mislijo, da mora biti vse na svetu programljivo."
Dodal je, da Microsoft ni bil pripravljen narediti nobenih sprememb v svoji programski opremi. »Makro virusi v Wordu so bili odkriti leta 1995. V Wordu 2000 je končno našla rešitev za odpravo težave, vendar je trajalo štiri leta. Mislim, da je to predolgo, ko smo vsi povezani na internetu."
Marilynn Wheeler je prispevala k temu poročilu