ILOVEYOU: o vírus que amou a todos

Relembramos a história do worm ILOVEYOU – um dos vírus mais infames que foi lançado 22 anos atrás.

Vamos fazer uma viagem pela memória até maio de 2000. Apenas mais um dia normal no escritório: você liga seu computador de trabalho, conecta-se à Internet e baixa o e-mail mais recente no cliente Microsoft Outlook. Você imediatamente percebe uma mensagem estranha com a linha de assunto “ILOVEYOU”. Uma pessoa que você conhece confessa seu amor por você. Talvez seja um amigo da escola… Espere, não é! É melhor ainda: um antigo supervisor.

Quem quer que fosse, é uma mensagem definitivamente atraente, então você clica no arquivo anexado chamado “LOVE-LETTER-FOR-YOU.TXT.VBS” e… nada parece acontecer. No entanto, algum tempo depois, você descobre que documentos importantes em seu disco rígido foram irremediavelmente corrompidos e várias cartas de amor semelhantes foram enviadas em seu nome – para todos os contatos do seu e-mail corporativo.

Exemplo de uma mensagem com o vírus ILOVEYOU

Um e-mail com o worm ILOVEYOU era mais ou menos assim no antigo serviço de e-mail da Microsoft. Fonte

O ILOVEYOU não foi o primeiro malware a explorar uma brecha no cliente de e-mail da Microsoft, mas certamente iniciou um dos mais graves surtos de vírus no início do novo milênio. Vamos relembrar sua história e falar sobre como esse problema mudou nossa percepção da segurança do sistema de computador.

Contexto: a internet é a tecnologia do momento

O ano 2000… já faz tempo – pensando nele em 2022, parece que são tempos pré-históricos. Hoje, você pode ver cópias arquivadas de sites daquela época ou tirar um laptop Windows 98 antigo do armário para lembrar quais programas usávamos – era como a Idade da Pedra, não era? Bem, na verdade não. Claro, a tecnologia na virada do milênio era primitiva para os padrões de hoje. A grande maioria dos usuários se conectava à rede por modem, e tudo era monstruosamente lento. Mas protótipos de quase todos os serviços de rede modernos já existiam naquela época.

Não havia streaming de vídeo, porém existia de rádio. Havia uma grande variedade de programas de mensagens online. O comércio na Internet estava se desenvolvendo a uma velocidade vertiginosa, embora muitas vezes fosse mais fácil ligar para uma loja por telefone do que fazer um pedido via site.

Geralmente, em 2000, qualquer tecnologia de rede, ou qualquer serviço com o prefixo “e-” (ou seja, eletrônico!) recebia muita atenção e investimento. Houve alguma decepção um pouco mais tarde em 2001, quando muitas startups de internet faliram e a indústria perdeu um pouco de hype, mas ganhou um pouco mais de sentido.

Um indicador importante de quão difundida a internet já era naquela época é o lançamento em 1998 do popular filme Mensagem pra Você, meio comédia romântica e meio comercial para a então gigante America Online.

Para nossa história, é importante que no final dos anos 1990 a internet não fosse mais um lugar para pouquíssimos: em 2000, centenas de milhões de pessoas já estavam online. Como tal, o e-mail já era uma importante ferramenta de comunicação e colaboração em muitas empresas e agências governamentais, bem como para usuários domésticos comuns.

Mas em maio de 2000, essa “transformação digital”, como ficou popular muito mais tarde, foi subitamente interrompida pelo surto do vírus ILOVEYOU. Muitas empresas foram forçadas a desligar temporariamente seus servidores de e-mail, que simplesmente não conseguiam lidar com o fluxo de dezenas de milhares de mensagens de amor.

Concept.B e Melissa: os predecessores

A rigor, ILOVEYOU deve ser classificado como um worm de rede: é um programa malicioso que se espalha pela rede. Outra característica importante do ILOVEYOU foi que a infecção inicial foi feita com um programa VBscript simples. O VBscript, por sua vez, é construído sobre a ideia ainda mais antiga de macros: essencialmente, programas simples que permitem automatizar ações específicas – por exemplo, ao trabalhar com documentos.

Na maioria das vezes, as macros são usadas para realizar cálculos complexos em planilhas, como o Microsoft Excel. Desde os tempos antigos, as macros também são suportadas no Microsoft Word, por exemplo, para gerar relatórios automaticamente a partir de dados inseridos em um formulário.

Em 1995, esta funcionalidade do Word foi explorada pelo vírus WM/Concept.A. Este vírus de macro infectou documentos do Microsoft Word e exibiu esta mensagem quando o documento foi aberto:

Mensagem ao abrir um documento infectado pelo vírus de macro Concept.A

A infecção por vírus de macro Concept.A leva a isso.Fonte

E isso é tudo. Não havia nenhuma funcionalidade maliciosa como tal, apenas uma janela bastante irritante que continuava aparecendo. O ex-funcionário da Microsoft Steven Sinofsky, responsável pelo desenvolvimento das soluções de escritório da empresa de 1998 a 2006, refere-se ao Concept.A em suas memórias como o primeiro sinal: naquele momento ficou claro que a automação implementada em todas as soluções da Microsoft poderia ser usada em seu detrimento. Como resultado, foi decidido exibir um aviso antes de executar macros: “o documento contém um programa, você tem certeza de que deseja executá-lo?”

Assim que a Microsoft começou a implementar restrições na execução de macros, os autores de malware começaram a procurar maneiras de contornar essas restrições. O próximo evento de risco de alto nível ocorreu em março de 1999. Steven Sinofsky descreveu como era: quando você verifica seu e-mail, recebe uma mensagem com um arquivo anexado e a linha de assunto “Mensagem importante de…”.

Mensagem infectada pelo vírus Melissa

Mensagem infectada pelo vírus Melissa. Fonte

E depois outro de outro remetente. E outro. E então o e-mail parou de funcionar: nem mesmo o servidor de e-mail da Microsoft aguentou a carga. Era o worm de internet Melissa. O documento do Microsoft Word em anexo continha um código malicioso que enviava uma mensagem pelo Microsoft Outlook para os primeiros 50 contatos da vítima.

É tudo sobre o amor

O worm ILOVEYOU foi uma evolução das ideias usadas na Melissa. Ele não explorou nenhuma vulnerabilidade nos produtos da Microsoft, mas usou a funcionalidade padrão. O único bug foi que nenhum aviso foi exibido quando o script foi iniciado a partir do serviço Outlook.

A funcionalidade do worm não se limitava a enviar mensagens de amor a todos os destinatários. Além do spam de e-mail enviado em nome da vítima, também era capaz de se espalhar pelo então popular mensageiro IRC. Além disso, o worm baixou um programa de Trojan que enviava as senhas de e-mail e acesso à Internet para o criador do malware. Por fim, excluía, ocultava ou corrompia arquivos no disco rígido: músicas em formato MP3, imagens JPEG, vários scripts e cópias de páginas da web.

A mente por trás do surto de ILOVEYOU incorporou desenvolvimentos de vírus de macro anteriores, criou um truque de engenharia social definitivo (como alguém pode ignorar um arquivo com o nome “eu te amo”?), adicionou funcionalidades maliciosas e aproveitou ao máximo a disseminação automática de malware .

Seguindo os relatos da Kaspersky e da mídia da época, é possível reconstruir a sequência dos eventos. Já no primeiro dia, 4 de maio, milhares de infecções do sistema foram detectadas. Em 9 de maio, 2,5 milhões de computadores infectados foram relatados como infectados, o que significa que dezenas de milhões de e-mails foram enviados ao redor do mundo.

O criador do vírus nem tentou esconder o código malicioso sob o disfarce de um documento de escritório. O nome do arquivo “LOVE-LETTER-FOR-YOU.TXT.VBS” explorou o fato de que Microsoft mostravam apenas a primeira parte de um nome longo, como pode ser visto na captura de tela no início do artigo. O código dentro dele estava em formato aberto, e logo muitos malfeitores habilidosos o estavam usando para criar diferentes variações do worm da internet. Em vez de ILOVEYOU, outras palavras começaram a aparecer na linha de assunto, incluindo avisos pretensiosos de vírus. A variante NewLove, detectada em 19 de maio, não excluiu arquivos seletivamente, mas apagou completamente todas as informações do disco rígido.

As estimativas finais do impacto do vírus ILOVEYOU são as seguintes: até 10% dos computadores conectados à Internet foram infectados e o dano total, incluindo as ações destrutivas de suas variantes, é estimado em cerca de US$ 10 bilhões. O incidente foi amplamente acompanhado pela imprensa, e houve até audiências no Senado dos EUA.

Erros são cometidos

Em 2022, conhecendo toda a história do início ao fim, gostaríamos de perguntar: o surto de um vírus tão trivial não poderia ter sido evitado de imediato? Não foi até 8 de junho de 2000 que a Microsoft lançou uma grande atualização de segurança para os usuários do Outlook, que finalmente introduziu sérias restrições à execução de scripts. Todos os anexos de e-mail não eram confiáveis ​​por padrão e foram introduzidas verificações se um aplicativo externo acessava o aos contatos do Outlook ou tentava enviar vários e-mails de uma só vez.

Após uma atualização em junho de 2000, o cliente de e-mail do Outlook alertou os usuários sobre um aplicativo externo acessando o catálogo de endereços e tentando enviar várias mensagens simultaneamente.

Após uma atualização em junho de 2000, o Outlook avisou os usuários sobre um aplicativo externo acessando os contatos e tentando enviar várias mensagens simultaneamente. Fonte

Eles não fizeram isso antes, porque ao escolher entre segurança e conveniência, a Microsoft preferiu o último. E os usuários também. Em 1995, quando a Microsoft introduziu um simples aviso no Microsoft Word (“Este documento contém macros”), a empresa recebeu feedback negativo dos clientes. Em algumas empresas, esse reconhecimento adicional interrompeu os processos internos baseados em scripts. Por esse motivo, mesmo ao desenvolver uma patch na sequência de ILOVEYOU, a pergunta “Vai quebrar alguma coisa para os usuários?” estava na agenda, mas desta vez já estava claro que a segurança precisava melhorar, e rapidamente.

Vírus antigo, problemas atuais

A epidemia de ILOVEYOU levantou muitas questões que ainda hoje são relevantes no campo da segurança da informação. A mais importante parece ser: não podemos enviar patches mais rápido? Definitivamente, houve problemas com isso: a Microsoft lançou um kit de patches para o Outlook mais de um mês após o início do surto. Além disso, os mecanismos de entrega automática dessas atualizações eram rudimentares, de modo que os surtos locais de infecção de correio demoravam muito para cessar.

A indústria de soluções de segurança já havia se mostrado bastante benéfica nesse sentido. Como lembra Eugene Kaspersky, não foi difícil proteger os usuários de antivírus da empresa. Mesmo assim, um sistema de entrega on-line para atualizações regulares foi implementado ao software de segurança, enquanto os desenvolvedores de outros tipos de programas levaram muitos anos para implementar um esquema semelhante para distribuição rápida de atualizações. Um pouco mais tarde, métodos de análise heurística foram desenvolvidos para detectar e bloquear automaticamente até mesmo scripts maliciosos desconhecidos.

Embora a segurança de programas e sistemas operacionais populares tenha melhorado enormemente nos últimos 22 anos, os criadores de malware continuam encontrando novas brechas para ciberataques bem-sucedidos.

Macros maliciosas também não foram a lugar nenhum. Em fevereiro de 2022, a Microsoft prometeu finalmente restringir a capacidade de distribuí-los, proibindo a execução de quaisquer scripts em documentos do Office obtidos pela Internet. No início de julho de 2022, essa proibição foi suspensa – é razoável supor que os temores de que algo importante para os usuários finais fosse perdido se tornaram realidade. Mais tarde, naquele mesmo julho, a Microsoft mais uma vez decidiu começar a bloquear macros por padrão, desta vez explicando aos usuários da funcionalidade como contornar a proibição.

Hoje, existem menos problemas em grande escala quando um pedaço de malware se espalha para dezenas ou centenas de milhões de computadores, mas ainda não podemos evitá-los completamente. O que definitivamente mudou é a forma como os ciberataques são monetizados, tornando reféns os dados da empresa e do usuário e exigindo resgate.

Vamos terminar nossa história com um breve resumo do destino do criador do worm de internet ILOVEYOU. Onel de Guzman era um estudante de 24 anos na época do surto. Em 2000, funcionários do FBI conseguiram determinar que as mensagens originais contendo o worm haviam sido enviadas para listas de discussão populares de usuários das Filipinas, onde de Guzman ainda mora. Em 2000, ele foi colocado na lista de autores suspeitos de ILOVEYOU. Mas ele não foi punido por dois motivos: a falta de provas e a ausência de uma lei criminal por cibercrime na legislação local da época.

Em 2020, de Guzman foi encontrado por jornalistas. Ele disse a eles que ILOVEYOU originalmente não tinha uma função de envio de e-mail em massa para os contatos do Outlook e que ele criou o worm para roubar senhas de acesso à Internet porque não podia pagar por isso. De Guzman nunca conseguiu monetizar seus talentos maliciosos. Na época em que o artigo foi publicado, ele trabalhava em uma modesta oficina de conserto de telefones em Manila.

Fique conectado, fique seguro

Dicas