Согласно данным компании F-Secure, вирус, который распространяется через электронные почтовые сообщения, содержащие в поле "Тема" письма запись "I Love You" или "Love Letter", впервые появился 4 мая в Азии. Вероятным источником его происхождения являются Филиппины. 

По мнению экспертов, вирус I Love You может принести много больше неприятностей, чем печально известная Melissa.

По мнению Мико Хиппонена (Mikko Hypponen), руководителя исследовательской группы F-Secure, за пять последних лет еще не было вируса, столь быстро и глобально распространявшегося бы по миру: "За четыре часа со времени первого тревожного сообщения из Норвегии, поступившего в 9 утра по Гринвичу, в F-Secure уже есть данные о вирусе из более 20 стран".

Вирус распространяется как присоединенный файл (аттачмент) к электронным почтовым сообщениям под именем "Love-Letter-For-You" и поражает пользователей популярной почтовой программы Microsoft Outlook. I Love You "отправляет себя" всем респондентам из адресной книги жертвы.

Согласно Хиппонену, наибольшей опасности подвержены издательства и средства массовой информации, включая радиостанции, журналы, рекламные агенства и, в частности, те из них, кто владеет большими архивами графических и музыкальных файлов: "Большие издательства, в которые сегодня проник вирус, полностью потеряли свои фотоархивы. Это связано с тем, что I Love You удаляет определенные типы файлов, и апгрейд антивирусной базы данных позволяет удалить вирус, но не может остановить уже начавшийся процесс его разрушительного действия. Если у вас нет резервной копии файлов вне зараженной машины, считайте, что вы все потеряли".

Уже есть информация, что почтовые сообщения с I Love You были получены в Пентагоне, Федеральном Резервном Банке, Министерстве обороны США; ФБР начало расследование причин и источников распространения вируса.

Что происходит

При первом запуске вируса он копирует себя в следующие директории:

WINDOWS\SYSTEM\MSKERNEL32.VBS
WINDOWS\WIN32DLL.VBS
WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS

и добавляет следующие регистрационные ключи:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MSKernel32=WINDOWS\SYSTEM\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices\Win32DLL=WINDOWS\Win32DLL.vbs

I Love You сканирует все диски , доступ к которым можно осуществить с данной машины, в поисках файлов *.JPG и *.JPEG. Найдя их, вирус копирует себя в файлы и добавляет расширение .VBS (т.е. файл 123.JPG становится 123.JPG.VBS). Кроме того, вирус записывает себя во все файлы *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.HTA и изменяет их расширения на .VBS. При нахождении файлов *.MP3 и *.MP2, I Love You заменяет код, добавляет свое расширение и делает файл невидимым.

После небольшой паузы вирус, используя Microsoft Outlook, отправляет себя всем респондентам из адресной книги программы, а также пытается загрузить и установить программу для кражи паролей WIN-BUGSFIX.EXE , которая должна, по замыслу, найти все скешированнные пароли и отправить их по адресу MAILME@SUPER.NET.PH . Для этого вирус заменяет домашнюю страницу браузера Microsoft Internet Explorer на адрес вебсайта, автоматически загружающего на машину троянца. Если это происходит, в Реестре появляется ключ

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\WIN-BUGSFIX,

который автоматически запустит программу для кражи паролей при включении ОС. При этом троянец копирует себя в

WINDOWS\SYSTEM\WinFAT32.EXE

и заменяет соответствующий ключ Реестра на

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\WinFAT32=WinFAT32.EXE.