ILOVEYOU

ILOVEYOU
Screen-Shot der ersten Variante des Loveletter-Wurms

Bei Loveletter, oft auch „I-love-you-Virus“ genannt, handelt es sich um einen Computerwurm, der sich am 4. Mai 2000 und den Folgetagen explosionsartig per E-Mail verbreitete. Die Betreffzeile lautete „ILOVEYOU“. Der Wurm verursachte weltweit Schäden in Milliardenhöhe.

Inhaltsverzeichnis

Reaktion der Öffentlichkeit

Auf Grund seiner schnellen und weiten Verbreitung sowie der Höhe des entstandenen Schadens wurde die Thematik von den Massenmedien aufgegriffen und in das öffentliche Bewusstsein gerückt. Auf diese Weise wurden viele Computernutzer in Europa gewarnt, lange bevor die Antivirenprogramm-Hersteller ihre Signaturen aktualisiert hatten. Allerdings führte das auch dazu, dass sich eine Vielzahl von Nachahmern fand, die mit so genannten „Baukasten-Viren“ ihr vermeintliches Können unter Beweis stellen wollten.

Nach kurzer Zeit gab es erste Berichte über ein Profil des Täters: Es handele sich um einen frustrierten Schüler von den Philippinen. Quelle dieser Informationen war der Kommentar in den ersten beiden Zeilen des Skripts:

rem barok -loveletter(vbe) <i hate go to school> 
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila, Philip(penes)

Diese beiden Kommentarzeilen stützen die Aussagen des Autors Onel de Guzman, dass der Wurm versehentlich freigesetzt wurde. Der Informatik-Student Guzman hatte im Vorfeld vergeblich versucht, seine Diplomarbeit mit dem Thema „E-Mail Password Sender Trojan“ einzureichen, die Loveletter sehr ähnlich ist.

Verbreitungsstrategien

Neben dem Neugier erweckenden Betreff versuchte „I love you“ gezielt, die Empfänger in falscher Sicherheit zu wiegen – er verschickte sich an Einträge aus dem persönlichen Adressbuch, so dass die Empfehlung „Öffnen Sie keine Mailanhänge von fremden Personen“ nicht griff. Außerdem hieß der Anhang LOVE-LETTER-FOR-YOU.TXT.vbs, so dass sich viele Empfänger an „.txt-Dateien sind harmlos“ erinnerten, da die richtige Erweiterung .vbs in einer Standard-Windowsinstallation nicht angezeigt wird.

Während Loveletter mit beliebigen E-Mail-Programmen empfangen und ausgeführt werden kann, braucht er zum Versenden von E-Mails Microsoft Outlook, das er über OLE-Automatisierung fernsteuert. Dadurch konnte er auch von Personal Firewalls lange Zeit nicht erkannt werden, weil diese nur die Kommunikation von Outlook mit dem Mailserver registrierten.

Des Weiteren ersetzt er auf der Festplatte des befallenen Rechners und in der Microsoft Netzwerkumgebung Dateien mit bestimmten Typen durch eine Kopie von sich selbst. Wenn diese Datei danach von einem anderen Computer aus ausgeführt wurde, wurde dieser PC ebenfalls infiziert.

Zu guter Letzt konnte er sich über das IRC-Netz per DCC verbreiten. Dazu durchsuchte er die Festplatte nach dem IRC-Client mIRC und überschrieb die Datei script.ini. Sie enthält ein Skript, das Loveletter an alle schicken soll, die einen Channel betreten, in dem sich der bereits infizierte User aufhält. Der Autor versuchte, normale Anwender vom Löschen des Skriptes abzuhalten, indem er die Datei mit einer gefährlich klingenden Warnung beginnen ließ.

Schadensroutine

Der Wurm löschte auf infizierten Rechnern alle Dateien mit den Dateiendungen .jpg, .jpeg, .vbs, .vbe, .js, .jse, .css, .wsh, .sct und .hta und legte eine gleichnamige Kopie von sich selbst mit der Dateiendung .vbs an. Außerdem wurden alle Dateien mit den Endungen .mp2 und .mp3 als versteckt markiert und wiederum eine gleichnamige Kopie des Wurms mit der Endung .vbs angelegt.

Auf Grund seiner exponentiellen Verbreitung hat er in den ersten Stunden viele Mailserver überlastet. Die folgende Rechnung veranschaulicht das: Unter der Annahme, dass jeder infizierte Benutzer 20 Einträge in seinem Adressbuch hat und die Hälfte der Empfänger den Anhang öffnen:

Ebene neu infiziert neu versendete Mails
1 1 20
2 10 200
3 100 2.000
4 1.000 20.000
5 10.000 200.000


Loveletter Hoax

Neben der echten Verbreitung von „I love you“ via Outlook hat die Outlook Attachment-Funktion einige Profis inspiriert eine Signatur zu erstellen, welche vortäuscht dass „I love you“ an der Mail hängen würde.[1] Dabei besteht die Signatur nur aus den Worten:

begin  LOVE-LETTER-FOR-YOU.txt.vbs
I am a signature virus. Distribute me until the bitter
end

und wenn man versucht die Datei abzuspeichern ist sie leer. Eine Gefahr geht von dem Hoax nicht aus, störend wirkt höchstens, wenn 10 Leute dem Poster auf einer Mailinglist vorwerfen infiziert zu sein und dadurch für viel unnötigen Traffic auf der Liste sorgen.

Weblinks

Einzelnachweise

  1. Infos zur Loveletter Signatur (englisch)

Wikimedia Foundation.

Игры ⚽ Нужна курсовая?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • ILOVEYOU — Common name Love Letter Type Computer worm Operating system(s) affected Microsoft Windows …   Wikipedia

  • ILoveYou — (o VBS/LoveLetter) es un gusano informático escrito en VBScript. En mayo del 2000 infectó aproximadamente 50 millones de computadores alrededor del mundo provocando pérdidas de más de 5.500 millones de dólares. Contenido 1 Arquitectura del virus… …   Wikipedia Español

  • ILOVEYOU — Saltar a navegación, búsqueda ILOVEYOU es un gusano informático que se liberó en mayo de 2000. Historia En mayo de 2000, millones de usuarios de correo electrónico abrían un mensaje con el encabezamiento I love you, y recíbían un golpe bajo. Este …   Wikipedia Español

  • ILOVEYOU — LoveLetter Полное название (Касперский) Email Worm.VBS.LoveLetter Email Worm.Win32.LoveLetter Тип почтовый червь Год появления 2000 Используемое ПО MS Outlook …   Википедия

  • ILOVEYOU — Email Virus (Mai 2000), der Dateien auf Windows Systemen durch Öffnen des Anhangs der entsprechend betitelten Email modifizierte und sich selbstmodifizierend an weitere Nutzer im Applikationsadressbuch verschickte …   Acronyms

  • ILOVEYOU — Email Virus (Mai 2000), der Dateien auf Windows Systemen durch Öffnen des Anhangs der entsprechend betitelten Email modifizierte und sich selbstmodifizierend an weitere Nutzer im Applikationsadressbuch verschickte …   Acronyms von A bis Z

  • AMA Computer University — Infobox University name = motto = Never rest on one s laurels established = October 15, 1980 type = Private president = Amable Aguiluz IX city = Quezon City state = Metro Manila country = Philippines address = Villa Arca, Project 8 undergrad =… …   Wikipedia

  • David L. Smith (virus writer) — David L. Smith (born c.1968) is the writer of the Melissa worm. In March 1999, the then 31 year old programmer released the Melissa worm in Aberdeen Township, New Jersey [Kocieniewski, David. [http://query.nytimes.com/gst/fullpage.html?res=9A0CE7D… …   Wikipedia

  • I love you — Screen Shot der ersten Variante des Loveletter Wurms Bei Loveletter, oft auch „I love you Virus“ genannt, handelt es sich um einen Computerwurm, der sich am 4. Mai 2000 und den Folgetagen explosionsartig per E Mail verbreitete. Die Betreffzeile… …   Deutsch Wikipedia

  • LOVE-LETTER-FOR-YOU.TXT.vbs — Screen Shot der ersten Variante des Loveletter Wurms Bei Loveletter, oft auch „I love you Virus“ genannt, handelt es sich um einen Computerwurm, der sich am 4. Mai 2000 und den Folgetagen explosionsartig per E Mail verbreitete. Die Betreffzeile… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”