Skip to content

ONHEXGROUP

اخبار دنیای امنیت سایبری

  • اخبار
    • آسیب پذیری امنیتی
    • آنالیز بدافزار
    • کنفرانس ،دوره ، وبینار ، لایو ، CTF
    • بازیگران تهدید
    • توسعه اکسپلویت
    • افشای اطلاعات
    • باگ بانتی
    • تیم آبی
    • تیم قرمز
    • امنیت وب
  • دوره های آموزشی
    • دوره رایگان مهندسی معکوس نرم افزار
  • لیست های ویژه
    • موتورهای جستجو برای امنیت سایبری
    • کاتالوگ KEV آژانس CISA
    • آسیب پذیری های وردپرس
      • آسیب پذیری پلاگین ها
      • آسیب پذیری های هسته
      • آسیب پذیری تم ها
    • محصولات خارج از پشتیبانی مایکروسافت
      • محصولات مایکروسافتی که در سال 2022 پشتیبانی نمیشن
      • محصولات مایکروسافتی که در سال 2023 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2024 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2025 پشتیبانی نمیشن
    • معرفی فیلم ها و سریالهای مرتبط با هک و امنیت
  • آموزش های ویدیویی
  • انتشارات
    • مجله
    • مقالات
    • پادکست
  • پروژه ها
    • ماشین آسیب پذیر
      • وردپرس آسیب پذیر
  • حمایت مالی ( Donate)
  • تماس با ما
 
  • Home
  • اخبار
  • آنالیز بدافزار
  • اخبار

نگاهی به ویروس ILOVEYOU

On بهمن 25, 1401فروردین 28, 1402
seyyid
Share
زمان مطالعه: 7 دقیقه

با توجه به اینکه امروز ، روز ولنتاین هستش و جمله “دوست دارم” از دهن عشاق نمی افته، در این پست به بررسی ویروس ILOVEYOU پرداختیم که در 5 مه سال 2000 ، 16 اردیبهشت 1379 ، منتشر شد، پرداختیم.

این ویروس که با نامهای Love Bug و Love Letter for you هم شناخته میشه ، از طریق ایمیل منتشر میشد. ایمیل ارسالی حاوی یه فایل VBS بود که قربانی با اجرای اون ، ویروس در سیستمش فعال میکرد. ویروس فایلهای MP3 و JPG رو دستکاری میکرد و خودش بجای اونا کپی میکرد. یسری رمز عبور رو به سرقت می برد. در نهایت با استفاده از لیست مخاطبین در Microsoft Outlook ، خودش به این افراد ایمیل میزد و منتشر میشد.

 

ILOVEYOU

 

ویروس در عرض چند روز تونست نزدیک به 50 میلیون سیستم رو آلوده کنه و به کسب و کارها و سازمانهای مختلفی مانند فورد ، پنتاگون ،پارلمان بریتانیا آسیب بزنه.

 

 

توزیع بدافزار:

ایمیل ارسالی با عنوان ILOVEYOU و متن “لطفا LOVELETTER پیوست شده از من را بررسی کنید” ارسال میشد. یه فایل LOVE-LETTER-FOR-YOU.TXT.VBS هم پیوست شده بود.

 

IloveYou

 

با توجه به متن و ایمیل ارسالی اغلب افراد یا از روی کنجکاوی یا فرض این که یه شوخیه ، ایمیل رو باز میکردن یا با فرض اینکه ایمیل از یه فرد آشنا ارسال شده بود ،اونو باز میکردن. همچنین چون پسوند فایل در ویندوز نشون داده نمیشد ، خیلیا به خیال اینکه یه فایل متنی هستش ،LOVE-LETTER-FOR-YOU.TXT ، اونو اجرا میکردن.

در سال 2000 اینترنت یه مفهوم تقریبا جدید بود. طبق آمار ITU ، میزان کاربران اینترنت در هنگ کنگ 28 درصد ، در آمریکا 43 درصد و در ایران خودمون 0.93 درصد بود.

خیلی از ایمیلهای سازمانی برای جلوگیری از انتشار اون آفلاین شدن. اما با توجه به اینکه ویروس خودش رو توزیع میکرد ،در عرض 5 ساعت ویروس به سراسر آسیا ، اروپا و آمریکای شمالی رسید. سرعتش 15 برابر سریعتر از ویروس معروف ملیسا بود.

در اون زمان 95 درصد کاربران از ویندوز استفاده میکردن و Outlook بهمراه آفیس ارائه میشد و تقریبا برای کسب و کار کامپیوتری استفاده از اون ضروری بود. اون زمان شرکتها از سرورهای متمرکز امروزی مثله جیمیل یا یاهو استفاده نمیکردن و از همون سروری که سایتشون روش بود برای ارسال و دریافت ایمیل استفاده میکردن. علاوه بر این شرکتها حتی فیلتر هم اعمال نمیکردن تا بتونن جلوی ایمیلهای اسپم رو بگیرن ، تا برسه جلوی ویروس رو بگیرن.

اگرچه آمریکا اخطار قبلی در خصوص این ویروس داشت اما اونجا هم ویروس به سرعت منتشر شد. چون مقاوت در برابر عدم باز کردن نامه عاشقانه سخته. این ویروس با رسیدن به لیست مخاطبین ارتش آمریکا ، FORSCOM ، که 50 هزار مخاطب داشت، بصورت فاجعه بار منتشر شد. کم کم همه پایگاههای نظامی که از Outlook استفاده میکردن ، آلوده شدن و ساعتها آفلاین شدن تا مشکل رفع بشه.

 

iloveyou

 

شناسایی مقصر:

آنتی ویروسها با ارائه بروزرسانی ها و مایکروسافت با انتشار وصله برای Outlook ، جلوی این ویروس رو گرفتن. با این وجود FBI به دنبال مقصر این رخداد بود. تحقیقات FBI شروع شد و کم کم شواهدی در فیلیپین پیدا کردن. از مجریان قانون فیلیپین خواستن تا پیگیری کنن.

با توجه به اینکه هر کسی که ویروس ILOVEYOU رو دریافت میکرد، در حقیقت کد اصلی بدافزار رو داشت و بدافزار مبهم نشده بود و کد پیچیده ای هم نداشت. علاوه بر این کدها حاوی خطوطی بودن که به هویت نویسنده بدافزار اشاره میکرد. این خطوط شامل دو ایمیل زیر بودن که هر دو در فیلیپین مستقر هستن.

 

1
2
spyder@super.net.ph
mailme@super.net.ph

 

همچنین اشاره به یه گروه هکری بنام GRAMMERSoft Group هم شده ، که گفته میشه در پایتخت فیلیپین مستقر هستن.

محققا اولش فکر میکردن شاید این اطلاعات ، صحیح نباشن اما همونطور که گفته شد ، ویروس پسوردهای سرقت کرده رو هم ارسال میکرد. این اطلاعات رو به سروری در Sky Internet در مانیل ارسال میکرد. SKY با قطع این سرور ، بخشی از عملکرد ویروس رو هم مختل کرد.

چهار روز بعد از انتشار ویروس ، پلیس فیلیپین یه آپارتمان در مانیل رو بازرسی کرد و تعدادی مجله کامپیوتری ، تلفن ، دیسک ، نوار کاست و … توقیف کرد. یکی رو هم بنام Reomel Ramones دستگیر کردن. ایشون که یه جوون 27 ساله بود و در یه بانک کار میکرد ، بعید بود که هکر پشت این ویروس باشه.

علاوه بر ایشون توجه پلیس به چند مظنون دیگه ، ساکن این آپارتمان جلب شد ، نامزد Ramones و Irene de Guzman و برادرش Onel .

آقای Onel de Guzman دانشجوی کامپیوتر کالج AMA بود. در این کالج یه گروه هکری بنام GRAMMERSoft بود که خودش مستقر در این کالج معرفی میکرد و همچنین در کمک کردن به دانشجوها برای تقلب در انجام تکالیفشون ، معروف بود.

در ابتدا پلیس نمیتونست Guzman رو با این گروه و همچنین ویروس مرتبط کنه اما مسئولین کالج پایان نامه رد شده Guzman ،که شباهت زیادی به کدهای ویروس داشت در اختیار پلیس قرار داد.

در پروپوزال پایان نامه Guzman نوشته بود که هدف برنامه پیشنهادی بدست آوردن پسوردهای ویندوز و دزدیدن حسابهای اینترنتی از سیستم های قربانیا هستش.

اون زمان هزینه اینترنت در فیلیپین بصورت دقیقه ای حساب میشد. ایده Guzman این بود که کاربرا در کشورهای در حال توسعه میتونن از اکانتهای کشورهای ثروتمند استفاده کنن و در نتیجه زمان بیشتری رو در اینترنت بدون پرداخت هزینه باشن.

استاد Guzman با خوندن پروپوزال عصبانی شده و نوشته بود : “ما دزد تربیت نمیکنیم” و “این غیرقانونی هستش”

 

Onel de Guzman

 

خلاء قانونی :

با همه مدارک جمع آوری شده توسط پلیس فیلیپین ، NBI و FBI علیه Guzman و خسارات و هرج و مرجی که در دنیا ایجاد کرده بود ، ایشون مجازات نشد.

دلیلشم نبود قانون برای متهم کردن ایشون در فیلیپین بود. با توجه به اینکه در فیلیپین قانون جرایم رایانه ای وجود نداشت ، ایشون نه تنها مجازات نشد بلکه حتی به آمریکا هم استرداد داده نشد چون طبق قانون فقط برای جرایمی بود که در هر دو کشور جرم حساب میشد. در نهایت پرونده مختومه اعمال شد.

عده ای ایشون رو نخبه و قهرمان معرفی کردن. یه فیلمم با نام Subject: I love you ساختن که در اون خالق ویروس رو ، یه مرد عاشق معرفی کردن که تلاش میکنه با تنها دختری که تا به حال دوسش داشته، ارتباط برقرار کنه.

 

Subject-I-Love-You

 

در کالج ایشون رو بعنوان فردی که به پنتاگون حمله کرده و یه فرد از یه کشور جهان سومی که تونسته با نبوغش این کار بکنه میشناسن.

البته عده ای هم نسبت به این قضیه احساس بدی داشتن و معتقد بودن که باید ایشون مجازات میشد.

 

رخداد های بعدی :

چند ساعت بعد از انتشار ویروس ILOVEYOU ، نسخه های مشابهی مانند very funny و joke و Mother’s Day و VIRUS ALERT!!! هم منتشر شد. نکته ای که وجود داره اینه که با پوشش رسانه ای که برای ILOVEYOU داده شده بود اما بازم عده ای همچنان روی این ایمیلها کلیک میکردن. این نشون دهنده اهمیت مهندسی اجتماعی در بین هکرها هستش.

محقق امنیتی Graham Cluley ، در این خصوص گفته که میشه سیستم عاملها رو بروز کرد یا از بهترین فیلترهای ایمیل استفاده کرد اما نمیشه مغز انسان رو اصلاح کرد.

FBI برآورد میکرد که این ویروس و ویروسهای مشابه ، خسارت 10 میلیاردی رو در سراسر جهان داشتن.

این ویروس نشون داد که هکرها فقط به دنبال هک سازمان ها یا وب سایتها نیستن و میتونن کسی که تو خونه اش نشسته و به اینترنت متصل هستش رو هم تحت تاثیر بزارن. همچنین به اهمیت آموزش نیروی انسانی برای جلوگیری از این رخدادها اشاره داره.

بعد از این حادثه ، فیلیپین قانون جرایم رایانه ای خودش رو تصویب کرد.

 

بیست سال بعد از حادثه :

سال 2020 ، Geoff White مصاحبه ای رو با آقای Onel de Guzman که اون زمان 44 ساله داشت ، انجام داد.

Geoff White میگه که مدتی در جستجوی Guzman بوده. تو اینترنت شایعات مختلفی بوده از جمله اینکه ایشون به امریکا و اتریش و آلمان مهاجرت کرده یا اینکه در مایکروسافت مشغول به کار هستش. در نهایت طبق پستی که یه کاربر در یه انجمن گداشته متوجه شده که ایشون یه مغازه تعمیر تلفن همراه در مانیل داره و به سراغش رفته.

گفتگویی که با ایشون انجام داده، Guzman  گفته که این ویروس رو برای این نوشته بود که نمیتونست هزینه های اینترنت دایال آپ رو بپردازه و میخواسته با سرقت پسورد دیگران، اینترنت بدون هزینه ، داشته باشه.

در ابتدا ویروس رو به کاربرای فیلیپینی فرستاده که فقط پسوردها رو میدزدیده. در بهار 2000 در کد تغییراتی رو داده تا بصورت خودکار خودش منتشر کنه.

ایشون در ادامه گفتن که ویروس جدید رو اولین بار به یکی در سنگاپور فرستاده. بعدش با دوستش برای خوردن نوشیدنی بیرون رفته. اولین باری هم که در خصوص اختلالی که ویروسش ایجاد کرده شنیده از مادرش بوده که گفته پلیس در مانیل دنباله یه هکره.

ایشون گفتن که خالق این ویروس تنها خودشون بودن. بعد از یه وقفه ای ذوباره به کار کامپیوتر برگشته اما کالج رو ادامه نداده. الانم یه فروشگاه کوچیک تعمیر تلفن همراه داره.

ایشون گفتن از نوشتن این ویروس و بدنامی که براش داشته، پشیمونه. چون آدم خجالتی هم هستش خیلی مواقع با دیدن خبرهاش ، احساس خجالت داره. از توزیع گسترده و خسارتی هم که زده تعجب و احساس پشیمونی داره.

 

guzman

 

خلاصه اینکه هر “دوست دارمی” ، “دوست دارم” نیست و در پایان میتونید این بدافزار رو از اینجا دانلود کنید.

 

منبع

 

 

اشتراک در شبکه های اجتماعی :

Facebook
Twitter
Pinterest
LinkedIn
In آنالیز بدافزار اخبارIn Love Bug , Love Letter for you , LOVE-LETTER-FOR-YOU.TXT.VBS , Onel de Guzman , ولنتاین

راهبری نوشته

iscwsisc2023 + کارگاه مقدماتی محاسبات امن
کلودفلیر و دفع بزرگترین حمله HTTP DDoS

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسته‌ها

  • Osint
  • آسیب پذیری امنیتی
  • آموزش های ویدیویی
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • امنیت وب
  • انتشارات
  • اینترنت اشیاء
  • بازیگران تهدید
  • باگ بانتی
  • پادکست
  • پروژه ها
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • دوره های آموزشی
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • لیست های ویژه
  • ماشین آسیب پذیر
  • مجله
  • مقالات
  • مهندسی معکوس نرم افزار

پست های مرتبط

  • آسیب پذیری امنیتی
  • اخبار
  • مقالات
seyyid
On تیر 21, 1403

بررسی هفتگی آسیب پذیری های منتشر شده در ZDI – (از 2 تا 15 تیر)

  • Osint
  • آسیب پذیری امنیتی
  • اخبار
  • امنیت وب
  • اینترنت اشیاء
  • باگ بانتی
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • مهندسی معکوس نرم افزار
seyyid
On خرداد 11, 1402

نسخه Kali Linux 2023.2 منتشر شد

  • آسیب پذیری امنیتی
  • اخبار
  • امنیت وب
  • توسعه اکسپلویت
  • مقالات
seyyid
On تیر 10, 1402

لیست 25 نقطه ضعف نرم افزاری خطرناک برای سال 2023 منتشر شد

  • آسیب پذیری امنیتی
  • اخبار
  • مقالات
seyyid
On شهریور 21, 1403

بررسی Patch Tuesday مایکروسافت برای سپتامبر 2024 (شهریور 1403)

درباره ما

بعد از چندین سال فعالیت تو حوزه امنیت سایبری و تولید محتوا در شبکه های اجتماعی ، بالاخره تصمیم گرفتیم تا یه سایت راه اندازی کنیم و مطالب رو ساده تر ، در یک محیط منسجم و طبقه بندی شده به دست مخاطب برسونیم. امیدوارم که قدمی در راستای رشد امنیت سایبری کشورمون برداشته باشیم.

تگ ها

0day APT command injection Deserialization of Untrusted Data Directory Traversal FBI Fortinet Heap buffer overflow integer overflow kali LockBit Memory Corruption nuclei Off By One Security out-of-bounds write Out of bounds read Patch Tuesday PWN2OWN Stack Buffer overflow type confusion use after free vulnerable wordpress XSS ZDI vulnerability آموزش اکسپلویت نویسی ارز دیجیتال اندروید اپل اکسپلویت باج افزار تلگرام زیرودی سیسکو فارنزیک فورتی نت فیشینگ لاک بیت مایکروسافت هوش مصنوعی وردپرس وردپرس آسیب پذیر ویندوز پلاگین کروم گوگل

شبکه های اجتماعی

    • Instagram
    • Telegram
    • Twitter
    • GitHub
    • YouTube
    • LinkedIn
      کپی مطالب با ذکر منبع بلامانع است | 1401-1404