I love you
(≪ Je t'aime ≫, en anglais) est le nom d'un
ver informatique
, apparu pour la premiere fois le
.
Ce ver portait aussi les noms
Loveletter
et
The Love Bug
. Il dissimulait, derriere une fausse lettre d’amour, un
script
malicieux programme en
VBS
. Ce script a diffuse massivement le ver a travers les logiciels de messagerie
Microsoft Outlook
et
Outlook Express
. Il ajoutait egalement des clefs dans la
base de registre de Windows
, lui permettant de se lancer a chaque demarrage de Windows. Il s’inserait dans les fichiers *.JPG, *.JPEG, *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.DOC *.HTA et les renommait en leur ajoutant l'
extension
.VBS afin de permettre son execution. Il y a une exception : les fichiers *.MP3. Le ver s'insere seulement dans une copie de ces fichiers, en gardant l'original avec l'attribut cache (Hidden).
ILOVEYOU a infecte en premier lieu les
Philippines
, ensuite la quasi-totalite de l’Asie, l’Europe, l’Afrique et les Ameriques.
Ses auteurs etaient des Philippins, Irene et Onel de Guzman
[
1
]
et Reomel Lamores.
Il s'est repandu sur des dizaines de millions de machines dans le monde
[
1
]
, et est responsable de dommages evalues a environ 10 milliards de dollars
[
1
]
.
Ce
ver
tire son nom de la
piece jointe
au
courrier electronique
qui le transporte, nomme
Love-Letter-for-you.txt.vbs
.
Le Centre de Coordination des
CERT
parle quant a lui du ver
Love Letter
. En effet, le ver se fait passer pour une lettre d'amour, notamment grace a l'icone des fichiers de son type rappelant celui d'une lettre.
La plate-forme visee est
Windows
, en particulier
Windows 98
et
Windows 2000
sur lesquelles
WSH
est installe
par defaut
. Les postes sous
Windows 95
et
Windows NT4
sur lesquels WSH n'a pas ete installe ne courent donc pas de risques. Lors de son ouverture, avant toute chose, il allonge la duree maximale du temps d'execution des scripts VBScript.Ce script cherche sur les
disques
locaux, mais aussi sur ceux accessibles via le
reseau
, tous les fichiers ayant une certaine
extension
(fichiers scripts, images, textes, pages
HTML
, etc.) et remplace leur contenu par le code source du ver (le script). Les fichiers legitimes sont donc perdus. Il change la page d'accueil d'
Internet Explorer
de maniere a telecharger un
cheval de Troie
(
trojan horse
en anglais). Il ajoute egalement le suffixe
.vbs
au nom des fichiers. Il modifie aussi la
base de registre
de Windows pour etre redemarre a chaque lancement du systeme. Une fois installe, il utilise le carnet d'adresses d'
Outlook
ou
Outlook Express
pour s'envoyer lui-meme a tous les contacts de l'utilisateur du
logiciel
.
De plus, si le logiciel
mIRC
est present sur l'un des disques durs, le ver va y ajouter un script envoyant automatiquement la ≪ lettre d'amour ≫ a toute personne se connectant au meme salon que le proprietaire de l'ordinateur infecte.
Les enqueteurs decouvrirent la
chaine de caracteres
≪ Barok ≫ dans le code du ver. Ce mot etait deja apparu quelques mois auparavant dans un autre malware, moins nuisible, avec l'indication que son auteur etudiait a l'AMA, une universite philippine d'informatique. La police de
Manille
se presenta a l'appartement d'Onel de Guzman,
24 ans
, dont le nom avait ete transmis a la police par l'universite. Elle trouva les disques qui prouvaient qu'il etait l'un des auteurs du script. Mais les Philippines n'avaient, a l'epoque, pas de lois contre le
hacking
. En
, une nouvelle legislation fut etablie, mais il etait trop tard : l'auteur de l'un des vers les plus destructeurs est reste impuni. En 2020, il vivait a Manille
[
1
]
.
- ↑
a
b
c
et
d
≪
Vingt ans apres, le createur du virus informatique ≪ I Love You ≫ temoigne
≫,
Le Monde.fr
,
(
lire en ligne
, consulte le
)