Под колесами «любви»

Петр Каменчук |  Март 2010, (№258)

версия для печати

Десять лет назад «эпидемия» компьютерного вируса ILOVEYOU установила абсолютный рекорд по сумме нанесенных убытков — около $10 млрд за несколько дней.

В начале мая 2000 года вирус с роман­тическим названием ILOVEYOU пошел гулять по планете: сначала Филиппины, затем Азия, далее — весь мир. Картина была жуткая. Вирус «вырубил» серверы электронной почты таких авторитетных и защищенных организаций, как ЦРУ, Пентагон и парламент Британии, не говоря уже о сотнях крупных компаний (Ford Motor Co., Merrill Lynch, Yahoo!, eBay, Amazon) и десятках тысяч средних и мелких. В разгар «эпидемии» инфицированными оказались 10% от общего количества компьютеров (около 50 млн машин), подключенных к интернету. Вирус в первые дни своего существования обошелся мировому бизнесу в $5,5 млрд. Позже, когда пострадавшие компании закончили оценивать ущерб, сумма убытков возросла почти в два раза.

Цифровой СПИД
Как удалось одной маленькой компьютерной программке наворотить такое? Причина в том, что ILOVEYOU впервые сумел использовать для «размножения» сразу два принципа, которые являются основополагающими при создании вредоносных программ. А именно — ранее неизвестную техническую уязвимость программного обеспечения и «человеческий фактор», то есть особенности поведения типичного компьютерного пользователя.

Как бы поступил обыкновенный компьютерный юзер, получив от знакомого или знакомой письмо с заголовком ILOVEYOU («ЯТЕБЯЛЮБЛЮ») и присоединенным файлом LOVE-LETTER-FOR-YOU.TXT? Понятное дело, сразу бросился бы открывать файл с заголовком «ПИСЬМО-ЛЮБВИ-ДЛЯ-ТЕБЯ». Ну а если отправитель письма явно не мог адресовать любовное послание этому конкретному получателю, то так даже любопытнее: вот сейчас узнаем, кому это признается в любви наш генеральный директор, который, похоже, отправил свое письмо по ошибке офисному клерку.

Заинтригованный юзер щелкал мышкой по вложению — и вместо пикантных признаний запускал выполнение вредоносной программы.

Microsoft — друг вирусов
Вирус ILOVEYOU не принес бы и тысячной части вреда, если бы не фундаментальная, поистине эпическая недоработка Microsoft. В этой компании как раз активно увлекались интеграцией операционной системы Windows с другими программами от Microsoft, в частности с пакетом Office и почтовым клиентом Outlook. С этой целью в Windows был внедрен так называемый скриптовый механизм — система, позволяющая создавать и выполнять последовательность команд, которую «понимали» разнообразные программы от Microsoft. Эта возможность была официально не документирована, и обычные пользователи даже не догадывались о том, что маленький файлик с командами на языке программирования Visual Basic Scripting может без проблем управлять критическими по значимости процессами в их компьютере.

Зато об этом знал автор вируса ILOVEYOU. И использовал свои знания так, что у компьютерных специалистов, приступивших к анализу источника вирусной «эпидемии», волосы встали дыбом.

После запуска ILOVEYOU первым делом «прописывал» себя в настройках компьютера — так, чтобы при следующем запуске автоматически получать управление. Затем он получал доступ к диску и просматривал его содержимое. Некоторые файлы, например, графические изображения, документы Word или другие скрипты он уничтожал, перезаписывая поверху собственную копию под тем же названием. С музыкальными файлами MP3 «любовный вирус» обходился гуманнее — не перезаписывал, а всего лишь скрывал, не забывая создавать «подделку» с тем же именем файла. Результат понятен: как только пользователь компьютера пытался открыть такой файл, запускался вирус. Кроме этого, ILOVEYOU изменял настройки операционной системы так, чтобы она при последующем запуске загружала программу, ворующую интернет-пароли.

Но и это не все: вирус влезал в программу электронной почты Microsoft Outlook и отправлял пресловутое «письмо любви» по всем адресам, которые были в ней записаны. Это породило лавинообразный процесс заражения. Ведь одно дело получить «вирусное письмо» с неизвестного адреса и совсем другое — открыть послание от знакомого или коллеги.

В результате только за неделю «эпидемии» были зафиксированы 50 миллионов случаев инфицирования.

Преступная безнаказанность
По официальной версии, вредоносная программа была создана 23-летним филиппинским студентом по имени Онел де Гусман. На след Гусмана вышли быстро: уже через три дня после начала «эпидемии», 8 мая 2000 года, филиппинская полиция ворвалась в квартиру подозреваемого. Правда, им тогда считался не Гусман, а некий Реомел Рамонес. Его арестовали, но следователи быстро поняли, что этот человек к созданию компьютерных программ вряд ли может быть причастен — у него дома и компьютера-то не было. Зато была подружка по имени Ирен де Гусман. А у нее — брат, Онел де Гусман, выпускник компьютерного колледжа. И, кроме этого, участник подпольной хакерской группы под названием GRAMMERSoft Group. Строчка с этим именем была обнаружена в тексте вирусной программы.

Что интересно, сам Онел де Гусман никогда не скрывал своего увлечения созданием вирусных программ. Более того, в проекте своей дипломной работы, поданной на утверждение в колледже, парнишка предложил... разработать вирус, который воровал бы у пользователей пароли и отправлял бы их по электронной почте.

В интернете наличествует полный текст «заявки» де Гусмана на дипломную работу, из которого очевидно, что злой гений в изложении причин выбора именно такой темы был прямолинеен, как черенок от совковой лопаты: «Исследователь решил создать данную программу потому, что он считает, что многим людям, особенно пользователям интернета, пойдет на пользу получать пароли Windows, например, для доступа в интернет, и проводить больше времени в Сети, не платя за это денег». Ошарашенные преподаватели накатали резолюцию: «Это незаконно — мы не поощряем воровство». Но Онел де Гусман отнюдь не отказался после этого от разработки своей «полезной программы»: она как раз и оказалась одним из компонентов вируса ILOVEYOU.

И вот тут начались странности. Во-первых, не удалось обнаружить доказательств того, что де Гусман написал и остальные компоненты вируса — именно те, которые обеспечили его бурное распространение. Во-вторых, сам он очень уклончиво отвечал на вопросы, является ли он создателем вируса ILOVEYOU. Мол, вирус написал не он, как оказалась в нем его программа по воровству паролей, он не знает, но, возможно, именно он случайно выпустил «любовное послание» в мир.

Можно было бы объяснить такое поведение страхом перед наказанием. Но в том-то все и дело, что со стороны Фемиды де Гусману абсолютно ничего не угрожало: его действия не подпадали ни под один закон — как филиппинский, так и других стран (парламенту Филиппин пришлось исправить эту ситуацию и принять закон против компьютерного хулиганства). Эта ситуация выяснилась очень скоро. Более того, в глазах местной прессы и общественности Онел де Гусман оказался героем. Так, газета Philippine Star назвала его «филиппинским гением, который напомнил, где на карте мира находится наша страна, и доказал, что филиппинцы обладают творческим потенциалом и изобретательностью, способными перевернуть мир вверх тормашками».

Любовь, ревность и зараза
Эта темная история с авторством вируса так и осталась до конца не разъясненной. Впрочем, есть версия, которая связывает вместе очень многие моменты. Дело в том, что у Онела де Гусмана был однокурсник, некий Майкл Бюен, который входил в ту же хакерскую группировку.

В отличие от де Гусмана, у которого хватило ума предлагать в качестве дипломной работы вирус, ворующий пароли, Бюен написал вполне культурную программу и получил диплом с отличием. Но было одно обстоятельство — Онел и Майкл подбивали клинья к одной и той же барышне по фамилии Батиста. Де Гусман преуспел, а Бюен остался ни с чем.

И решил отомстить: на хакерских форумах сохранились его запросы о том, как можно взломать чужой почтовый ящик на сервисе Hotmail (именно таким пользовалась его несостоявшаяся пассия).

Далее ситуация развивалась, скорее всего, следующим образом: умный программист Бюен написал вирус, предназначенный специально для мести своему приятелю де Гусману. Более того, по-подлому использовал в нем разработанную де Гусманом же «воровскую программу». Затем, дождавшись окончания учебы в колледже (за такие штучки отличник мог лишиться диплома), взломал почтовый ящик его подруги Батисты и отправил с ее адреса вредоносную программу, замаскированную под «письмо любви». Онел де Гусман радостно открыл послание с заголовком ILOVEYOU и тем самым начал эпидемию. Именно поэтому де Гусман сознавался, что «ненарочно» выпустил вирус на свободу, но при этом не признал своего авторства: ведь он действительно стал причиной эпидемии, но только в качестве первой жертвы.

С тех пор прошло десять лет. В компьютерном мире вообще и в интернете в частности многое изменилось. «Дыры» в программной безопасности были ликвидированы, и тотальных вирусных «эпидемий» с миллиардными убытками не наблюдается уже достаточно давно. Но это вовсе не означает, что они исчезли навсегда: компьютеров становится все больше, и они проникают в те сферы, где ранее их использование было эпизодическим. А талантливых, тщеславных и ревнивых молодых людей в мире хватало всегда.