image

ILOVEYOU / LoveLetter-worm viert vijftiende verjaardag

dinsdag 5 mei 2015, 07:02 door Redactie, 5 reacties

Het is vijftien jaar geleden dat de ILOVEYOU / LoveLetter-worm zich onder miljoenen internetgebruikers verspreidde. De "Love Bug" worm, zoals ILOVEYOU ook bekendstaat, wist wereldwijd miljoenen gebruikers te infecteren en wordt gezien als één van de eerste wormen die social engineering toepaste. De worm deed zich voor als een liefdesbrief van een onbekende bewonderaar.

In werkelijkheid ging het niet om een liefdesbrief maar een script, geschreven in Microsoft Visual Basic Scripting, dat in Microsoft Outlook wordt uitgevoerd en standaard stond ingeschakeld. De worm gebruikte een dubbele extensie, eindigend op .txt.vbs. Windows laat standaard de bestandsextensie niet zien, waardoor gebruikers alleen .txt zagen en dachten dat het om een tekstbestand ging. Eenmaal geopend voegde de worm zich aan het Windowsregister toe. Ook gebruikte VBS.LoveLet.A, de officiële naam van de worm, lokale e-mailadressen om zich door te sturen, wat destijds een nieuwe tactiek was. Verder verving de worm allerlei afbeeldingen en maakte muziekbestanden onzichtbaar.

De worm zou zo'n 5,5 tot 8,7 miljard dollar schade wereldwijd hebben veroorzaakt, waarbij er ook nog eens 15 miljard dollar werd gerekend voor de verwijderkosten. Er volgde dan ook een klopjacht op de auteur, wat leidde tot de arrestatie van de 23-jarige Filipijnse Onel de Guzman. Hij werd echter nooit vervolgd omdat er destijds in de Filipijnen geen wetgeving was die het schrijven van wormen strafbaar stelde. ILOVEYOU stond aan het begin van het mass-mailing tijdperk en werd gevolgd door andere wormen zoals Sobig en Anna Kournikova.

Reacties (5)
05-05-2015, 10:35 door Anoniem
Grappig dat Windows nog steeds niet standaard de bestandextensie laat zien, waardoor dit trucje (zeker met een aangepast icoontje) nog altijd veel slachtoffers maakt. Denk aan de recente '*.pdf,exe' aanvallen, zoals de 'PostNL e-mail' van een tijdje terug...
05-05-2015, 12:04 door superglitched - Bijgewerkt: 05-05-2015, 17:50
Hier staat de source code:
http://www.cexx.org/loveletter.htm

Aangezien VBS code uitvoeren in e-mails allang onmogelijk is gemaakt en de code is gebaseerd op extreem oude Outlook versies, zie ik er geen probleem in om dat hier neer te zetten.
05-05-2015, 17:44 door karma4
Door Anoniem: Grappig dat Windows nog steeds niet standaard de bestandextensie laat zien, waardoor dit trucje (zeker met een aangepast icoontje) nog altijd veel slachtoffers maakt. Denk aan de recente '*.pdf,exe' aanvallen, zoals de 'PostNL e-mail' van een tijdje terug...

Gewoon aan te zetten als je dat wenst.
De echte oorzaak: Gebruikers willen zo graag op een bestand die daarmee de "applicatie" opent. Het is een functionel vraag voor de gebruikersvriendelijkheid. Pas later kwam men er achter dat het ook black hackersvriendelijk is.
Probeer maar eens mensen op te leiden dat ze eerst de applicatie en daarmee het betstand te openen. Gaat heel lastig.
05-05-2015, 18:02 door superglitched - Bijgewerkt: 05-05-2015, 18:05
En ook al staat er OrderBevestiging.pdf.exe dan openen nog een aantal mensen het. Gek vind ik dat niet. Veel mensen zijn slecht voorgelicht.

Betere detectie kan alleen als virusscanners samen gaan werken. Ik zou binnen no time een scanner kopen die op meerdere engines in de cloud werkt. Simpelweg omdat je tegenwoordig geen enkele virusscanner an sich kan vertrouwen. De Netflix onder de virusscanners zeg maar!

Virustotal.com komt dan aardig in de buurt, maar is nog geen household naam en draait nog niet op de desktop.
05-05-2015, 18:15 door Anoniem
Tegenwoordig zou een dergelijke vorm van social engineering niet meer werken.

De titel zou dan moeten zijn : " i Love Me "
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.