ILOVEYOU: la storia del primo worm con diffusione di massa

La macchina del tempo non esiste concretamente nella realtà, ma nulla ci vieta di averne una a completa disposizione in forma virtuale su questo blog.
Difatti, con questo articolo, compiremo un balzo nel passato, tornando indietro ad una data molto importante: 4 maggio 2000.

Ai più questa data avrà lo stesso sapore di una giornata qualunque, ma per chi è addentrato nel mondo dell’informatica il solo leggerla scatenerà un vortice di ricordi piuttosto spiacevoli. Questo perché si tratta del giorno in cui fece la sua comparsa in rete il primo virus informatico a larga diffusione della storia: il celeberrimo ILOVEYOU.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Una lettera d’amore?
Chi è ILOVEYOU?
Come funzionava?
Diffusione, danni e responsabili dell’attacco

Una lettera d’amore?

Tutto comincia il 4 maggio 2000.

Ci svegliamo, avviamo i nostri PC con Windows 98, apriamo la casella di posta tramite Microsoft Outlook e troviamo una stranissima e-mail, nel cui oggetto si legge chiaramente “ILOVEYOU“. Impossibile non restarne incuriositi, anche perché un oggetto del genere scatena le fantasie dei più solitari.
Sta di fatto che decidiamo di aprirla e ci troviamo innanzi non solo un allegato, ma anche un testo particolare, che recita:

“Kindly check the attached LOVELETTER coming for me“

Che sia davvero un messaggio proveniente dal nostro amore mai dichiarato?
Ci fidiamo e apriamo l’allegato LOVE-LETTER-FOR-YOU.TXT.VBS, salvo scoprire che non succede nulla. La finestra si apre e si richiude nel giro di un secondo, tempo impossibile per poter vedere effettivamente cosa ci sia scritto al suo interno.

Tuttavia, qualcosa è effettivamente successo, ma ce ne accorgiamo solo nel corso dei giorni successivi, quando documenti personali e file importanti finiscono per risultare danneggiati e quindi impossibili da aprire. Nel frattempo riceviamo comunicazioni dai nostri contatti in rubrica che altre lettere d’amore identiche a quella che abbiamo aperto qualche giorno prima, sono giunte nelle loro caselle e-mail direttamente dal nostro indirizzo e-mail e che anche questi stanno riscontrando lo stesso nostro problema. Insomma, una catena apparentemente senza fine.

Ma com’è possibile?
Non abbiamo mai scritto, né inviato e-mail del genere a nessuno dei nostri contatti. Come mai all’improvviso tutti ci accusano dei danni arrecati ai loro computer? Siamo stati noi, oppure è stato qualcun altro?

La risposta è la seconda: il responsabile risponde al nome di ILOVEYOU malware, il primo software malevolo della storia in grado di autoreplicarsi nel sistema che infetta e di trasmettersi spontaneamente ad altri PC connessi in rete, tramite una falla presente in Microsoft Outlook.

Chi è ILOVEYOU?

Come detto poc’anzi, ILOVEYOU è stato un worm, il primo nel suo genere a conoscere una rapida e repentina diffusione in brevissimo tempo.
Nel gergo tecnico, un worm è un software malevolo che non necessita di legarsi strettamente a specifici programmi eseguibili per infettare altri sistemi, ma che si diffonde sfruttando le connessioni di rete del sistema in cui per primo si insinua.

Grazie a questa sua struttura e all’ottima ingegneria sociale che lo contraddistingueva, ILOVEYOU ha conosciuto una rapidissima diffusione nel mondo, a tal punto da fargli registrare l’impressionante numero di 5o milioni di infezioni nell’arco di appena 11 giorni.

Il suo metodo di infezione e diffusione era interamente basato sulle mailing list, che venivano sfruttate come veicolo d’infezione per i destinatari.
I messaggi non venivano nemmeno bloccati dal client di posta, ma erano etichettati come sicuri. Infatti, bastavano pochi secondi all’utente per aprire l’allegato in seno all’e-mail e dare inizio all’invasione di ILOVEYOU sia nel proprio sistema, che fra i propri contatti.

Come funzionava?

Malware scritto interamente in Microsoft Visual Basic Script, è essenzialmente uno script basato su una concezione di macro risalente al 1989. Infatti, il client di posta non lo bloccava, in quanto rilevava una macro compatibile con Excel e con Word.

Scavando ancora più nel dettaglio, emerge uno scenario di per sé particolare, in quanto ILOVEYOU basava il suo funzionamento sullo sfruttamento delle funzionalità base dei prodotti Microsoft. L’unica vulnerabilità che entrava effettivamente in gioco, era un bug di Outlook che impediva la visualizzazione di un avviso importante nel momento in cui l’allegato veniva aperto dal client.

La macro creata in VBS altro non faceva che aggiungere un numero di chiavi nel registro di sistema, al fine di rendere il worm inizializzato sin dall’avvio. Ciascuna di esse aveva una funzionalità specifica, riportata nel dettaglio come segue:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32: sfrutta il kernel di Windows per inizializzare una copia di sé stesso;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL: permette al worm di essere inizializzato ed eseguito sin dall’avvio di Windows;
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page: sostituisce la Home Page di Internet Explorer con il sito internet archiviato di skyinet.net;

A inizializzazione avvenuta, ILOVEYOU dava inizio alla scansione del sistema, per individuare tutte le unità di memoria connesse al PC infetto, rimpiazzando al tempo stesso determinati file con copie di sé stesso, a cui segue l’estensione .VBS. Nel dettaglio le estensioni dei file a cui si sostituiva sono:

JPG
JPEG
VBS
VBE
JS
JSE
CSS
WSH
SCT
DOC
HTA
MP3
MP2

La persistenza definitiva nel sistema era scatenata nel momento in cui creava una copia di sé stesso nelle directory di sistema \Windows e \Windows\System, apparendo nella prima come Win32DLL.vbs e nella seconda come LOVE-LETTER-FOR-YOU.TXT.vbs.

Analizzando il funzionamento e il linguaggio con cui è stato scritto, si deduce che ILOVEYOU è stata una diretta evoluzione di Melissa malware, un altro worm che funzionava in modo simile, che però non ha conosciuto una grandissima diffusione. Questo perché l’allegato in seno a questo era una macro di Word che limitava la sua diffusione ai soli primi 50 contatti presenti nella rubrica Outlook dell’utente, laddove ILOVEYOU agiva in maniera più subdola ed estesa.

Diffusione, danni e responsabili dell’attacco

Il worm non ci mise molto a mettere in ginocchio il mondo intero.
Solo il primo giorno si stimarono migliaia di computer infetti, che divennero 2,5 milioni appena cinque giorni dopo e che infine toccarono quota 50 milioni il 13 maggio 2000. I danni conseguenti da questa infezione di massa, furono principalmente imputati alla difficoltà che enti e organizzazioni mondiali riscontrarono nel rimuovere il worm dai loro sistemi.

Furono adottate misure drastiche da parte del Pentagono, della CIA, del Parlamento britannico, della Disney e della NASA, i quali furono costretti a disattivare i loro sistemi di comunicazione e i client di posta per diversi giorni. In Italia l’ente maggiormente colpito da ILOVEYOU, fu il Ministero del Tesoro, che si ritrovò con i propri computer talmente rallentati dalle valanghe di copie del worm, da risultare completamente inutilizzabili.
Alla fine, i danni totali ammontarono a ben 10 miliardi di dollari dell’epoca, equivalenti a quasi 19 miliardi odierni.

In mezzo a tutto questo caos, il nome del suo autore emerse: Onel de Guzmàn, all’epoca hacker ventitreenne di Manila, il quale commise due errori piuttosto grossolani. Il primo fu quello di esporsi un po’ troppo ai docenti dell’Ama Computer College dove studiava, presentando una tesi incentrata proprio sulla creazione e diffusione di virus informatici. Il secondo fu lasciare tracce del virus che riconducevano sia all’appartamento che condivideva con la sorella Irene, che ai computer universitari. Con queste informazioni in loro possesso, non fu difficile per gli agenti federali rintracciarlo e porlo in stato di fermo.

In realtà, de Guzmàn fu rilasciato poco dopo e assolto da ogni accusa, in virtù dell’assenza all’epoca di leggi contro il cybercrime.
Rintracciato dai giornalisti vent’anni dopo, questi ha raccontato di aver cambiato vita e di aver creato ILOVEYOU per appropriarsi delle password per l’accesso a Internet, poiché all’epoca non poteva permettersi il costo del canone telefonico.

In conclusione

La storia di ILOVEYOU dimostra che se nel 2000 il cybercrime era un argomento prevalentemente relegato ai libri e al cinema di fantascienza, oggi è purtroppo una realtà consolidata. Da allora la tecnologia si è evoluta drasticamente e lo stesso ha fatto il software malevolo, divenendo un’arma spietata che non concede tregua a nessuno. Come affermato da Greg Day:

“Il concetto di ingegneria sociale utilizzato dal virus è stato estremamente efficace e, purtroppo, nonostante abbia almeno 20 anni, questo meccanismo continua ad avere successo.”

Sfortunatamente l’ingegneria sociale odierna ha molte frecce nella sua faretra, rappresentata dalla potenzialità di diffusione dei social media e della condivisione spontanea delle proprie passioni da parte degli utenti stessi. Com’è facile intendere, la guardia deve essere sempre mantenuta alta e diffidare da tutto ciò che ci sembra troppo bello per essere vero. Quella è in realtà la trappola vera e propria.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.