Loveletter: ILOVEYOU

4 de maio, 2000

Feliz aniversário, lovebug!

25 anos atrás, nesse dia, a worm conhecida como 'Loveletter'(Carta de Amor), 'Lovebug'(Amorzinho) ou 'ILOVEYOU'(EUTEAMO) foi solta ao mundo pela primeira vez. Sendo um dos pedaços de código infeccioso que mais rapidamente se espalhou pelo mmundo (não tão rápido quanto o SQL Slammer, porém o Slammer nunca se salvava na memória), ela se espalharia através de E-mails e canais IRC. Se você usou qualquer computador conectado a internet nos dias seguintes, voce provavelmente veria algo parecido com isso em sua caixa de entrada:

^{Coleção de e-mails da versão original de ILOVEYOU. Variações incluiam outros títulos, como "ALERTA DE VÍRUS!!" ou promessas de fotos sensuais.}

Por padrão, muitas das versões do Windows na época escondiam a parte ".vbs" da extensão do arquivo, fazendo o anexo parecer ser apenas um arquivo de texto. E porque o remetente era provavelmente alguém que você conhecia da sua lista de contatos (talvez até alguem que você tenha uma quedinha?), você não pensaria por muito tempo até que a curiosidade tomasse conta de você. Uma vez aberto, para você pareceria que nada aconteceu; porém, o virus iria executar uma série de instruções complexas por trás dos panos, instalando-se em seu sistema e se enviando em massa para todos os seus contatos no Outlook.

A infecção e o Ataque

^{ILOVEYOU tinha um método complicado de infecção envolvendo muitos passos. Eu não vou detalhar cada aspecto técnico da infecção, mas irei tentar dar uma visão superficial - mesmo assim, essa secção vai ficar bem longa.}

Uma vez executada, a 'Carta de Amor' começaria fazendo copias de si mesma renomeadas como "WIN32DLL.vbs" e "MSKERNEL32.vbs" nas pastas /Windows_system e /Windows, se disfarçando como arquivos legítimos do sistema. Ela também faz uma cópia com o nome original, "LOVE-LETTER-FOR-YOU.TXT.vbs", talvez como uma enganação para fazer você acreditar que removeu o vírus do sistema ao simplesmente deletar o arquivo com o nome óbvio. Então ela cria uma chave nomeada "MSKernel32" sobre a chave de Máquina Local que é utilizada para rodar programas em seu sistema, para que o vírus rodasse de novo toda vez que você abrir qualquer progama. Adicionalmente, ela criava outra chave nomeada "Win32DLL" que rodava com a inicialização do computador, executando o vírus assim que você ligasse o computador.

Esse era só o primeiro passo na infecção desse worm. Em seguida, ela tenta baixar um cavalo de tróia nomeado "WIN-BUGSFIX.exe". Para fazer isso, ele mudava sua página inicial do Internet Explorer para uma página em branco com um download automático para o trojan, e escrevia mais uma chave no registro para executar o trojan na inicialização do sistema. Uma vez que o sistema é reiniciado e WIN-BUGSFIX.exe executa com sucesso, ele se copia para a pasta /Windows com o nome "WinFAT32.exe", muda sua página inicial do Internet Explorer de volta para o padrão, e criava mais uma chave de registro para executar WinFAT32.exe junto com a inicialização do computador. Esse arquivo colhe a sua informação pessoal, como nomes de usuário, senhas, endereço IP, nome de computador e especificações, etc. e envia para "mailme@super.net.ph", um endereço de e-mail criado por Onel de Guzman, o criador do malware. ^{mais sobre esse cara depois}

No próximo passo, a worm pesquisa o sistema inteiro em busca de arquivos para "infectar". Ao contrário de simplesmente se anexar ao final do código do programa a ser infectado, como a maioria dos vírus faziam, ILOVEYOU simplesmente sobreescrevia arquivos que tinham os tipos de extensão alvejados com si mesma, em quanto mantia o nome original do arquivo. Por mais que a versão original evitava sobreescrever tipos de arquivo críticos para o funcionamento do sistema, isso levava a perda de dados armazenados em arquivos com extensões como m3, jpg, js, css, e outros, o que foi a origem da maior parte dos danos causados por ILOVEYOU.

Adicionalmente, a worm procurava por arquivos relacionados ao mIRC (um programa de chat da época) e gerava um script que enviava o arquivo LOVE-LETTER-FOR-YOU.TXT.HTM nas mensagens privadas de todos os membros que estavam nos mesmos canais que você, e deixava um comentário dizendo para não alterar esse script pois ele era supostamente essencial e altera-lo corromperia o mIRC.

Finalmente, Lovebug acessaria sua lista de contatos do Outlook e se enviava para todos os contatos na formatação típica da carta de amor. Para evitar se enviar de novo toda vez que o vírus era executado, ela utilizava uma lista de chaves de registro e não se enviava novamente para e-mails que ela já se enviou, um método que também permitia ela se enviar automaticamente para quaisquer contatos novos adicionados.

Consequências, Relatório de danos

Loveletter foi um dos víruses mais destrutivos na história do malware, causando $750 milhões de dólares em danos em 24 horas após sua primeira aparição. O aspecto de engenharia social, por mais que simples, era novo na época - levando a infecção de uns 10% de todos os computadores conectados a internet nos 10 dias seguintes a 4 de Maio, o dia de seu surgimento, o que equivale a mais de 45 milhões de computadores ao redor do mundo. O fluxo de e-mails sendo enviados era tão grande que a maior parte dos serviços de e-mail simplesmente parou de funcionar. Milhões de arquivos tiveram seus dados sobreescrevidos por ILOVEYOU. E porque o virus se copiava em texto plano sem criptografia, o código-fonte era amplamente disponível, e qualquer um que conhecesse um pouco de VBS podia fazer sua própria variante do worm.

Variantes do Lovebug com diferenças interessantes vão desde títulos diferentes para o e-mail, como um e-mail alertando sobre a carta de amor que ironicamente estava infectado com a carta de amor, até mudanças incrivelmente perigosas, como mudar as extensões de arquivo que o malware alveja para sobreescrever para qualquer tipo, o que leva a perda completa do sistema. Uma variante particularmente interessante prometia uma foto sensual da cantora Jennifer Lopez, e carregava uma cópia do ínfame vírus CIH dentro de si.

Relatórios de danos estimam entre $5 bilhões de $10 bilhões de dólares durante o periodo de atividade do worm. O worm conseguiu infectar sistemas críticos em muitos dos governos do mundo, incluindo o governo dos Estados Unidos, infectando computadores no Departamento de Defesa, no Pentágono, na CIA e na Nasa. Ele também derrubou o site da Casa Branca e temporariamente deixou várias bases do Éxercito Estadunidense inoperáveis. Em todo lugar que o vírus se espalhava, ele custava horas para técnicos que tinham que trabalhar recuperando dados de backups, se isso sequer fosse possível.

Origens

Lovebug foi criado por Onel de Guzman, um ex-aluno da AMA Computer University nas Filipinas. de Guzman acreditava que acesso à internet deveria ser gratuíto, e para sua tese propôs a criação de um programa que roubava credenciais de acesso a internet e as distribuia gratuitamente - em seus olhos, um crime sem vítimas. Ele abandonou a universidade após sua proposta ser rejeitada por ser antiética, e em seguida criou o malware por conta própria.

Em uma entrevista com a BBC em 2020, de Guzman disse que na verdade tinha criado o vírus antes de 2000, mas que até então só era usado para roubar dados de login de provedores de internet para uso próprio, já que ele não tinha dinheiro para comprar seu próprio serviço. Em 2000, ele atualizou o worm para se aproveitar de um bug no Windows 95 para se enviar para contatos de Outlook, e inventou uma mensagem que ele achava que seria atrativa para as pessoas - A carta de amor.

Originalmente, o vírus seria restrito para somente espalhar dentro de Manila - já que ele só queria roubar logins que ele realmente conseguia usar - mas ele removeu essa restrição por curiosidade. Ele disse que enviou a primeira carta para um e-mail em Singapura e saiu para beber com seus amigos, e so ficou sabendo o caos que causou no próximo dia, quando viu no noticiário que a polícia estava procurando um hacker em Manila.

Como não existia leis sobre crimes cibernéticos nas Filipinas na época, de Guzman não foi penalizado pela Justiça, porém novas leis foram criadas como consequência do evento. Guzman diz se arrepender de ter criado o vírus, e não gosta da infamia que ele tem. Hoje em dia, ele trabalha em uma loja de conserto de celulares no centro de Manila, num pequeno negócio com um outro colaborador.

^{Onel de Guzman, visto no tribunal após ser identificado como o criador da Lovebug.}

Pensamentos pessoais, Fechamento

Esse acabou sendo um artigo maior do que eu anticipava, e mesmo assim, eu só falei sobre uma fração do evento que foi a Carta de Amor. Consequências foram muito mais amplas do que só algumas semanas de destruição; Guzman tinha exposto o quão vulnerável a internet como um todo era, um ato que iria mudar a face da internet e da cibersegurança pra sempre. Se você tem interesse, eu fortemente recomendo que você pesquise mais sobre o assunto. E se você acha que eu esqueci algum detalhe legal, me deixe um recado e eu vou atualizar esse artigo!

Sobre o 'manifesto' de de Guzman - Pessoalmente, eu acho que ele estava certo sobre algumas coisas. Ele estava um pouco a frente de sua época tendo essa idéia no ano 2000, mas acho que hoje em dia mais e mais pessoas concordariam que a Internet é um recurso que deve ser disponível para todos, independente de status financeiro. Claro, roubar senhas em massa e redistribuí-las não é exatamente a melhor maneira de conseguir isso - nem criar um worm que derruba metade dos governos do planeta.

Levando tudo em conta, a internet era tão vulnerável nessa época que se ele não tivesse causado o desastre com o Lovebug, mais cedo ou mais tarde algum adolescente querendo chegar ao topo das listas de malware iria criar algo similar de qualquer jeito - então não consigo culpá-lo completamente pelo incidente.

_{Se você leu até aqui, obrigada! EUTEAMO - Ayim}