Na tarde de 4 de maio de 2000, diversos escritórios e empresas ao redor do mundo entraram em pane. A história era a mesma: alguém no escritório recebeu um email com o assunto “ILOVEYOU” e a mensagem, “por favor, verifique o LOVELETTER (carta de amor, tradução livre) em anexo vindo de mim.” Quando eles abriram o que parecia ser um arquivo de texto — na verdade, um programa executável disfarçado de texto —, o ILOVEYOU rapidamente assumiu o controle, enviando cópias de si mesmo para todos em sua agenda de endereços de email.

Esses destinatários, pensando que o email era uma piada esquisita ou uma declaração séria de amor, abriram o anexo, espalhando-o ainda mais.

Inicialmente, o programa iria substituir todos os arquivos com extensão de mídia — como imagens, documentos e arquivos de música MP3 — por cópias de si mesmo. Então, em um esforço para causar o máximo de dano e realmente destruir a maior rede de dispositivos possíveis, o vírus enviaria um email idêntico a todos os contatos do catálogo de endereços do Outlook da vítima.

O anexo do ILOVEYOU é um programa VBScript que os destinatários, à época, confundiram com um arquivo de texto simples por conta da extensão .vbs, oculta nas máquinas Windows. Quando o arquivo é aberto, encontra o catálogo de endereços do Outlook da vítima e reenvia, de forma autônoma, a ‘carta de amor’ para todos nele. Devido ao Microsoft Outlook ser amplamente instalado como o aplicativo de gerenciamento de email padrão em redes corporativas ao redor do mundo, o vírus ILOVEYOU pode se espalhar rapidamente dentro de uma empresa, prédio, escola, etc..

O ILOVEYOU não é um vírus — embora seja abordado dessa forma pelo jornalismo —, e sim um worm, ou minhoca em português. Enquanto um vírus trata-se de um código malicioso que se replica após a intervenção humana, um worm é uma categoria de malware que pode se replicar e espalhar em uma rede infinita de sistemas sem a ação humana. Ele nem mesmo precisa se anexar ao software, já que o ILOVEYOU funciona via email, mais especificamente nos anexos. Quando um usuário abre o anexo, sua ação imediatamente baixa o worm em seu sistema sem seu conhecimento, e todas as ações posteriores do programa são completamente autônomas.

Captura de tela mostrando uma cópia do email ILOVEYOU. No topo da tela, a mensagem “Kindly check the attached LOVELETTER coming from me”, (ou “Por favor, verifique a CARTADEAMOR em anexo vindo de mim”, tradução livre) pode ser vista.

Aproveitando-se da carência natural do ser humano, o bug se espalhou ao redor do mundo e milhões de usuários foram infectados. Em cinco horas, um milhão de usuários foram afetados; em dez dias, cinquenta milhões, número esse que continuou crescendo de forma inimaginável. É estimado que pelo menos dez porcento de todos os usuários da internet foram impactados.

À época, enormes corporações, como a Microsoft, e agências governamentais, como o Pentágono, o exército dos Estados Unidos, parlamentos na Dinamarca e no Reino Unido, precisaram encerrar abruptamente seus serviços de email enquanto tentavam controlar a carta de amor, e mitigar seus danos. Sem sucesso.

A primeira ação tomada foi simplesmente excluir todos os emails que tivessem ‘I LOVE YOU’ no assunto. No entanto, essa estratégia não apresentou muito sucesso. Para aumentar o alcance da infiltração, hackers introduziram variações nas linhas de assunto, como ‘Piada’ ou ‘Dia das mães!’, de forma que captasse a atenção do usuário e, ainda sim, apresentasse contexto para o arquivo de texto — um email com o assunto ‘dia das mães’ e um anexo com uma ‘carta de amor’ faz sentido, ao invés de a “carta” acompanhar um email com o assunto ‘proposta de trabalho’ ou ‘reserva feita’. Todas as variações continham o mesmo código ou um extremamente semelhante. A mutação mais sinistra foi uma que continha ‘ALERTA DE VÍRUS!!!’ na linha de assunto — mesmo assim, usuários abriam o arquivo.

Quatro dias após o começo da infiltração, a polícia das Filipinas obteve um mandado de segurança para um apartamento em Manila, capital do país, e apreendeu revistas sobre programação, computadores, telefones, discos, fios e fitas cassetes. Eles também prenderam um dos moradores, um jovem de vinte e sete anos, Reomel Ramores, que trabalhava em um banco local. A polícia filipina acreditava que ele era um hacker improvável e os investigadores perguntavam-se se eles haviam prendido a pessoa errada. Após alguns questionamentos iniciais, eles identificaram Onel de Guzman, um jovem de vinte e três anos estudante de ciência da computação na AMA Computer College. Ele estudava no campus Makati, um prédio de concreto cinza e sombrio no centro da cidade.

Em seu código, o worm mencionava a frase grammersoft, que os investigadores rapidamente estabeleceram como uma célula de hacking subterrânea composta por alunos da AMA, alguns dos quais haviam começado a fazer experiências com vírus. Embora a polícia não pudesse provar inicialmente que Guzman era membro do grupo, funcionários da faculdade compartilharam com as autoridades uma tese final que ele havia escrito e fora rejeitada. Ela continha o código de um programa com uma semelhança surpreendente com ILOVEYOU.

No rascunho da tese, Guzman escreveu que o objetivo de seu programa proposto era “obter senhas do Windows” e “roubar e recuperar contas de internet [do] computador da vítima”. Na época, o acesso discado à internet nas Filipinas era pago por minuto, em contraste com as taxas de uso geral em grande parte da Europa e dos Estados Unidos. A ideia de Guzman era que os usuários de Terceiro Mundo pudessem pegar carona nas conexões dos que vivem em países mais ricos e “passar mais tempo [na] internet sem pagar”. Lendo sua proposta, o professor de Guzman ficou indignado e escreveu que a faculdade “não produzia ladrões” e que sua proposta era ilegal.

Após vários dias longe do público, Guzman apareceu em uma coletiva de imprensa ao lado de seu advogado e sua irmã. Quando questionado se ele poderia ser o responsável pelo worm, seu advogado respondeu ser possível e que “ele [Guzman] nem mesmo sabia que as suas ações teriam os resultados relatados”. O advogado também acrescentou que a internet “deveria ser educacional, portanto deveria ser gratuita” — fazendo, possivelmente, uma ligação à tese rejeitada de seu cliente.

No fim, Guzman seria um homem livre. Após a virada do milênio, algumas nações correram e elaboraram legislações sobre computadores e crimes cibernéticos, mas as Filipinas não faziam parte desse grupo. A própria Polícia Federal das Filipinas assumiu haver provas suficientes para colocar Guzman como o responsável pelo ILOVEYOU e condena-lo por isso, só não havia uma legislação. Posteriormente, após a criação de uma legislação para o crime cometido, uma tentativa de processar Guzman falhou e o caso foi arquivado.

Os Estados Unidos queriam extraditar o estudante para um julgamento e condenação, mas isso dificultou-se após o arquivamento do caso. A motivação para a extradição viria por conta do prejuízo bilionário que o worm causou em empresas norte-americanas, como a própria Microsoft. Posteriormente, estimou-se que o surto causou entre cinco a nove bilhões de dólares em danos ao redor do mundo — o valor, no câmbio atual, chega a entre vinte e sete e cinquenta bilhões de reais. É estimado que foi necessário entre dez a quinze bilhões de dólares para remover o worm de computadores e da internet.