www.lucamauri.com

Il virus "I love you"

Anche se ormai il grande interesse per questo virus è definitivamente scemato, riteniamo che sia ancora interessante parlare di alcuni aspetti che lo riguardano.
In questa scheda tecnica troverete diverse informazioni derivata da una analisi del codice virale.

Questa pagina vuole essere una descrizione della mia esperienza con il virus in oggetto e una breve guida al virus e alle sue componenti.

Introduzione | Il codice | Cosa ci riserva il futuro

Introduzione

Apparentemente il virus "I Love You" ribattezzato VBS.LOveletter è apparso per la prima volta la mattina di Giovedì 4 maggio 2000, vigilia del giorno in cui - secondo i soliti noti - il mondo avrebbe dovuto smettere di esistere in seguito all'allineamento planetario nel Sistema Solare.
Il virus ha destato molto scalpore, tanto che molti telegiornali ne parlavano già quella stessa sera: sulla CNN gli sono stati dedicati parecchi minuti nel corso del "World Business Today", in onda la notte di quel giovedì dalle 23:00 alle 23:25 (CET).

Il virus consiste in uno script scritto nel linguaggio Visual Basic Script, uno dei tanti diletti Basic, derivato dalla famiglia VB di Microsoft che comprendente l'ambiente di sviluppo Visual Basic, il Visual Basic Applications Edition (incluso nei prodotti della famiglia Office) e appunto il VBS, integrato nei sistemi Windows di ultima generazione.

Il nickname dell'autore sembra essere "spyder" appartenente al @GRAMMERSGroup di Manila, nelle Filippine. L'indirizzo e-mail è ispyder@mail.com (nel caso foste interessati a farlo, credo che sia inutile tentare di inviare un messaggio e attendersi una risposta), esiste anche un sito internet www.ispyder.com che attualmente è in costruzione e che quindi non può essere associato con sicurezza all'autore del virus.
Ho consultato diversi dizionari, ma non mi risulta che la parola "Spyder" abbia un qualche significato. Forse è stata scelta per l'assonanza con "spider", ovvero "ragno" in inglese.

Il primo commento inserito nel codice sorgente del virus è

"barok -loveletter(vbe) <i hate go to school>"

La frase "i hate go to school" significa "odio andare a scuola", notate però che la lettera "i", quando indica la prima persona, in inglese dovrebbe essere scritta in maiuscolo.


Il codice

Il codice del virus è facilmente visibile in quanto uno script VBS contiene le istruzione Visual basic "in chiaro" cioè non compilate. E' sufficiente aprire il file del virus in un editor di testi (anche il Blocco Note) per visualizzare il codice.
Analizzare il codice di questo virus ha diversi scopi utili, tra cui scoprire come difendersi meglio da questo virus, come rimediare ai danni che provoca oppure mettere alla prova le proprie capacità di programmazione e di conoscenza del linguaggio.

Di seguita darò una breve descrizione del funzionamento del virus e delle sue caratteristiche. Chiaramente questa sarà una introduzione, ognuno di voi, se lo vorrà, potrà andare a studiarsi da solo il codice più in profondità.

Le prime righe del codice del virus sono dedicate ai commenti di cui ho parlato in precedenza e alla impostazioni di alcune variabili che poi saranno usate nel programma.
La riga 10 costituisce la chiamata alla sub main() che da il via vero e proprio all'attività del virus.

Il codice è composto da 8 subroutines i cui nomi sono:

e dalle tre funzioni:

Passo ora alla descrizione delle azioni del virus.
La sub main() imposta alcune variabile usate nelle successive routine e crea nell'ordine i tre files "MSKernel32.vbs", "Win32DLL.VBS" e LOVE-LETTER-FOR-YOU.TXT.vbs". Il primo e il terzo vengono inseriti nella directoy di sistema di windows (SYSTEM in Win9x o SYSTEM32 in WinNT) mentre il seocndo finisce nella directory di Windows.
In seguito vengono lanciate le seguenti routines:

La sub regruns() inserisce nel registro due chiavi che fanno eseguire all'avvio del sistema i due script "MSKernel32.vbs" e "Win32DLL.vbs". Il sotto programma inoltre individua la directory impostata di default per lo scaricamento dei files da internet e verifica che esista il file "WinFAT32.exe" nella directory di Windows. Se quest'ultimo file esiste, il virus modifica (attraverso il Registro) la Pagina Iniziale di MS Internet Explorer inserendo la URL del file "WIN-BUGFIX.EXE" posto in una sottodirectoy (dal nome complicato e apparentemente insensato) del sito www.skyinet.net .
La sub verifica poi l'esistenza del file WIN-BUGSFIX.exe nella directory predefinita per il download e imposta il Registro per eseguirlo a ogni avvio del computer. Dopodiché la Pagina Iniziale di IE diventa "about:blank"

La routine html() crea una pagina HTML contente il codice virale nella directory di Windows con il nome "LOVE-LETTER-FOR-YOU.HTM". Questa pagina verrà poi usata dal virus per infettare altri utenti attraverso mIRC.

La sub spreadtoemail() legge gli indirizzi e-mail nella rubrica del client predefinito MAPI e prepara per ognuno una e-mail con le seguenti caratteristiche con oggetto "ILOVEYOU" e testo nel corpo "kindly check the attached LOVELETTER coming from me.". Al messaggio viene allegato il file "LOVE-LETTER-FOR-YOU.TXT.vbs" contenuto nella directory di Windows.

listadriv() analizza i drives presenti nel disco e per ogni unità esegue la funzione folderlist .

infectfiles(folderspec) si occupa di individuare tutti i files con scripts o fogli di stile (*.vbs, *.vbe, *.js, *.jse, *.css, *.wsh, *.sct, *.hta) e ne sostituisce il codice con una copia integrale del virus.
Le immagini JPEG (*.jpg, *.jpeg) e i files sonori in MP3 e MP2 (*.mp2, *.mp3) vengono sovrascritti da un file avente lo stesso nome, estensione *.vbs e, come contenuto, di nuovo una copia del codice virale.
Questa routine, inoltre cerca la presenza del software mIRC, uno dei più diffusi per l'uso delle Internet Relay Chat e crea nella sua cartella un file di nome "SCRIPT.INI". Questo script contiene i comandi per inviare ai propri interlocutori una copia di "LOVE-LETTER-FOR-YOU.HTM" che è una pagina html contente ancora una copia del virus.


Cosa ci riserva il futuro

Questo virus, nonostante il grande clamore suscitato, in effetti, non era né particolarmente sofisticato né pericoloso.
La maggior parte degli utenti di PC sa (o dovrebbe sapere) che gli allegati di posta elettronica non vanno MAI aperti prima di essere sicuri del loro contenuto, vanificando così l'azione del virus alla fonte. La possibilità di analizzare semplicemente il codice virale, inoltre, ha permesso un rapido studio del virus e delle contromisure per combatterlo.
Gli analisti sostengono che vbs.Loveletter sia solo il primo di una serie di virus che si diffonderanno attraverso i programmi di posta elettronica. Purtroppo, sfruttando opportunamente alcune caratteristiche dei Mail reader avanzati con MS Outlook, è possibile forzare il software all'apertura dei file in allegato senza la necessità dell'avvio manuale. Allo stato attuale sarebbe impossibile difendersi contro un virus di questo tipo. Tutte le grandi Software House, però, stanno lavorando per rendere un po' più sicuri i propri software di messaggistica.
Inoltre possiamo notare che, nonostante la tecnologia sia ampiamente disponibile, questo tipo di virus non si è ancora visto in circolazione. Questo potrebbe essere spiegato considerando forse alcune difficoltà di ordine pratico nella scrittura di un programma di questo genere o anche l'eccessiva aggressività del virus: per essere veramente inevitabile, il virus, dovrebbe essere in grado di infettare il suo stesso creatore.

 

^ TOP Copyright © 2000 Luca Mauri. All rights reserved
Tutte le informazioni fornite in questo articolo sono a puro titolo informativo.
L'autore né nessuna delle fonti o dei collaboratori citati si prendono responsabilità sulle conseguenza derivanti dall'uso di queste informazioni da parte dei lettori.

Scrivete a legal@lucamauri.net per ulteriori informazioni.