В ніч з 4 на 5 травня 2000 року користувачі почали отримувати перші електронні листи з темою ILOVEYOU. Через кілька днів поширення вірусу перетворилося на пандемію – в піку кожен п’ятий електронний лист був ILOVEYOU, сервери сервісів електронної пошти ледь справлялися з навантаженням. Щоб вберегти цінне обладнання, установи просто відключали свої комп’ютери від мережі інтернет. В ЗМІ почали поширюватися статті про комп’ютерний апокаліпсис і навіть абсурдні вкиди про те, що люди заражалися комп’ютерними вірусами. Хайп нісся шакалячим експресом.
Як виглядав вірус
Людям приходив електронний лист з темою ILOVEYOU. В листі було написано «Люб’язно прошу переглянути вкладення, там моє тобі зізнання в коханні». У вкладенні був файл «LOVE-LETTER-FOR-YOU.TXT.vbs». Ясно, що довгу назву система обрізала і користувач бачив лише початок.
Це був вірус-хробак, тобто програма, що поширювалась на все нові і нові комп’ютери. Це історична назва, перший у світі вірус-хробак Creeper коли копіював себе на новий комп’ютер, видалявся з попереднього, і складалося враження що він буквально перелазить з одного термінала на інший. Функцію видаляти себе пізніше відключив ще сам розробник Creeper, але назва так і закріпилася за цим типом вірусів.
ILOVEYOU був класичним вірусом-хробаком, написаним на мові VBScript. Ця мова програмування була включена в систему починаючи з Windows 95. Все, що було потрібно – написати в звичайному текстовому файлі правильні команди. Злим жартом виявилось те, що файли з такими скриптами Microsoft вирішила позначати іконками з блакитними сувоями. Те, що для програмістів було очевидною аналогією скриптової мови програмування, для звичайних людей було символом незвичного, можливо застарілого, текстового файлу.
Після запуску вірус копіював себе в систему. Він випадковим чином видаляв файли з розширенням .jpg, .jpeg, .js, .jse, .css, .wsh, .sct, .doc і .hta, а замість них створював свої копії з розширенням .vbs. Тобто, наприклад замість файлу family.jpg створював family.jpg.vbs. Користувач бачив, що файл змінився, більше не виглядає як картинка, але все одно клікав на нього в надії все ж побачити цей необхідний файл, таким чином вірус міг знову активуватися, якщо його було прибрано з автозавантаження. Схожим чином вірус поступав з музикою в форматі mp3, але не видаляв її, а робив прихованою, вірогідно просто щоб не гальмувати на цьому моменті. Після цього вірус розсилав себе усій адресній книзі поштового клієнта і уже усі ваші контакти отримували від вас лист ILOVEYOU. Навіть якщо це точно не могло бути зізнанням, це могло бути дружнє перебільшення чи жарт, тож люди клікали і це безумство поширювалося далі.
Історія створення
Відносно швидко експерти з кібербезпеки встановили, що джерело вірусу знаходиться у Філіппінах. Потім було визначено і інтернет-провайдера Sky, з мережі якого фіксувалися перші передачі вірусу. Зрештою став відомим і автор вірусу. Ним виявився 24-річний студент комп’ютерного коледжу Маніли (Філіппіни), Онель де Ґусман (Onel de Guzman).
Розробці вірусу передувала справжня Санта-Барбара. Де Ґусман був піонером Інтернету і вважав, що доступ до мережі є невід’ємним правом усіх людей. Але будучи бідним, він мав труднощі з його оплатою. Тож де Гусман почав працювати над вірусом-трояном, в якості дипломної роботи для бакалаврату. Троян мав цупити логін-пароль для доступу до комутованого інтернету, потім ці дані мали поширюватися серед нужденних. Але викладачі не оцінили благих поривів студента, заявивши, що вони випускають не грабіжників. Ображений в своїх найсвітліших почуттях де Ґусман назвав викладачів обмеженими і невдовзі покинув коледж. Після цього він зайнявся написанням ILOVEYOU.
Хробак не був кінцевою метою, а лише засобом. Справа в тому, що спочатку студент вручну розсилав свій троян користувачам зі свого району на форумах і чатах. Але в якийсь момент, як типовий програміст, вирішив автоматизувати цей процес. Хробак, який самостійно поширювався, окрім наведення шороху серед файлів, встановлював стартовою сторінкою Internet Explorer сторінку завантаження того самого трояну WIN-BUGSFIX.exe. Коли троян завантажувався, знову встановлювалася порожня початкова сторінка. Єдиною проблемою було знайти щось таке, що заставить різних людей відкрити невідомий файл з хробаком. Рішення де Ґусмана було до геніальності просте – усі люди на Землі дуже потребують бути коханими, навіть якщо це не щиро.
Саме за допомогою цього трояну правоохоронці і знайшли автора. Вони просто взяли адресу електронної пошти, на яку троян відсилав знайдені паролі підключення до мережі, і зробили запит провайдеру, за якою адресою підключено інтернет особі з цим e-mail.
Так як вірус був написаний на інтерпретованій мові VB Script, будь-хто міг відкрити код хоч звичайним Блокнотом і змінити його на власний розсуд. Тож невдовзі інтернетом вже гуляли десятки модифікацій вірусу різного ступеня деструктивності, що сильно ускладнювало роботу антивірусів. Погіршувало ситуацію те, що тодішні поштові клієнти і Windows дозволяли запускати виконуваний файл одразу після запуску, а штатний інтерпретатор мови VBScript у Windows міг без проблем змінювати системні файли самої Windows. Фактично, це був текстовий файл, де було написано щось на зразок «видали файл family.jpg, скопіюй туди файл iloveyou.vbs і перейменуй його на family.jpg,vbs», а виконувала це все система сама.
У 2023 році Microsoft визнала мову програмування VBScript застарілою і почала повільно відмовлятися від неї. З травня 2024 року інтерпретатор цієї мови в системі за замовчуванням виключено, а приблизно після 2027 року його взагалі буде виключено зі складу Windows. Вірус, що працював ще під Windows 95, фізично не зможе працювати на системах після 2027 року.
За оцінками, вірус уразив до 10% підключених до інтернету комп’ютерів і став найруйнівнішим програмним кодом свого часу. Було уражено багато урядових, фінансових, військових і інших установ, частину знищеної інформації не вдалося відновити.
Коли інформація про розслідування з’явилася у медіа, мати де Ґусмана заховала комп’ютер, на якому той написав і поширив вірус, хоч деякі диски, що містили вірус, лишились в його приміщенні. Цей його не врятувало і правоохоронці прийшли в його оселю і Онель визнав своє авторство. Йому намагалися інкримінувати фінансові махінації (викрадення доступу до інтернет за допомогою трояна) і хуліганство з пошкодженням майна. Втім і перше і друге не відносилось до фізичних крадіжок і пошкодження, а законів щодо цифрових правопорушень на той час на Філіппінах не було, тож де Ґусман не отримав жодного покарання. Але в тому ж році Філіппіни прийняли перший закон про регулювання в інтернеті.
У 2012 році Смітсонівський університет назвав ILOVEYOU одним з десяти найзаразніших вірусів у світі. Збитки, заподіяні вірусом, оцінюють від 5 до 9 мільярдів доларів США, а подолання наслідків, за оцінками дослідників, обійшлося ще в десять. Попри просту за сучасними мірками реалізацію, вірус дуже вдало використав дуже нехлюйське ставлення Microsoft до потенційної небезпеки власних продуктів та особливості людського сприйняття.
Де Ґусман не хотів слави. Останній раз на публіці він з’явився на прес-конференції у 2000 році, обличчя закривав, а на більшість запитань відповідав адвокат. Після цього його медійний слід зник. Коли через 19 років журналіст-розслідувач Джефф Вайт (Geoff White) розшукав Де Ґусмана, той так і не став ні багатим, ні відомим. У коледжі він теж так і не відновився. Онель де Ґусман мав крамничку по ремонту мобільних телефонів у Манілі і жалкував, що створив цей руйнівний вірус.