Арестован подозреваемый в создании вируса ILOVEYOU

МАНИЛА — В понедельник филиппинское Национальное бюро расследований (НБР) арестовало в связи с делом о вирусе ILOVEYOU 27-летнего банковского служащего.

Арест Ромела Ламореса

Полиция подозревает в создании вируса, поразившего на прошлой неделе компьютерные сети во всем мире, включая системы Пентагона, ЦРУ и британского парламента, жителя Манилы сотрудника China Bank Реомела Рамонеса (Reomel Ramones).

Исполнительный вице-президент местного компьютерного колледжа AMA Рамон Абад (Ramon Abad) рассказал, что это учебное заведение оказывало НБР помощь в поиске источника вируса. По просьбе НБР колледж проверил предоставленный бюро список имен и обнаружил в числе своих студентов два имени из этого списка: один бывший студент был отчислен, а второй заканчивает обучение.

Шеф НБР Федерико Опиньон (Federico Opinion) сказал, что агенты получили ордер на обыск в доме Рамонеса после трехдневной работы по сбору свидетельств, указывающих на источник вируса. Во время обыска председатель местного жилищного совета Джил Алнас (Gil Alnas) сообщил репортерам, что следователи арестовали 17 предметов — однако компьютера среди них не было.

Ордер на обыск был выдан в соответствии с законом о доступе к устройствам, который регламентирует использование кодов, номеров счетов и паролей для доступа к различного рода аппаратам. За нарушение этого закона предусматривается наказание в виде тюремного заключения сроком до 20 лет. Власти Филиппин разыскивают также 23-летнюю подругу Рамонеса — именно на ее имя зарегистрирован компьютер, к которому ведет след. Она скрылась, но передала записку, в которой обещает объявиться в ближайшие дни.

Женщины чрезвычайно редко бывают замешаны в делах, связанных с компьютерными вирусами. Сотрудник IBM Сара Гордон (Sarah Gordon), собирающая сведения об авторах вирусов, считает маловероятным участие женщины в создании или распространении вируса. «Мы беседовали с десятками людей, связанных с созданием компьютерных вирусов, и только в двух случаях женщины имели к этому прямое отношение», — пишет Гордон в работе, опубликованной в 1994 году и посвященной характерным чертам авторов вирусов.

Заминка с ордером на обыск
Вирус Love оказался самым разрушительным за всю историю компьютеров. Он очень быстро привел следователей на Филиппины, и в субботу НБР приступила к поиску подозреваемого — студента из семьи, относящейся к среднему классу. Однако до понедельника власти не могли получить ордер на обыск, так как по местным законам компьютерный взлом не является преступлением.

НБР впервые расследует электронное преступление, и у детективов отсутствует опыт в этой области. Возможно, подозреваемая девушка здесь вовсе ни при чем и ее компьютером воспользовались для распространения вируса без ее ведома. По мнению властей, принимая во внимание широкий международный резонанс, который получил данный инцидент, следует ожидать, что настоящий автор вируса уже давно уничтожил всю информацию, способную навести на его след.

Отчетливый электронный след
Как сообщила газета Washington Post, ФБР обнаружило отчетливый электронный след вируса и было готово арестовать используемые для атаки компьютеры сразу по получении разрешения. По словам Нельсона Бартоломе (Nelson Bartolome), руководителя отдела НБР по борьбе с мошенничеством и компьютерными преступлениями, агенты ФБР США оказали филиппинским властям ощутимую помощь. «Они поделились с нами техническим опытом и намерены принять участие в анализе свидетельств, если мы таковые получим», — сказал Бартоломе Reuters.

Уже имеющиеся свидетельства включают шесть элементов информации, содержащихся в коде червя ILOVEYOU и загружаемом им компоненте — выведывающем пароль троянце WIN-BUGSFIX.exe:

Явный псевдоним автора spyder.

Адрес электронной почты в теле червя ispyder@mail.com.

Адрес электронной почты, по которому троянец отправляет выведанные пароли: mailme@super.net.ph.

Имя Barok.

Фраза i hate go to school.

Имя группы GRAMMERSoft.

Предполагается, что Spyder и есть автор червя. В январе хакер по имени Spyder опубликовал в Интернете программу Barok 2.1, действие которой напоминает действие загружаемого компонента червя Love. Объектный код этого компонента содержит фразу:

Та же самая фраза есть и в Barok 2.1. На самом деле программа WIN-BUGSFIX.exe и удаленный компонент программы Barok 2.1, называемый сервером, отличаются всего четырьмя байтами. Это несомненное доказательство того факта, что автор Barok 2.1 и создатель вируса ILOVEYOU — один и тот же человек, скрывающийся под псевдонимом spyder. Программа Barok 2.1 явно написана специально для вируса. Ее предыдущая версия Barok 2.0, также появившаяся в январе, имеет в коде «сервера» другую строку:

В субботу шведский эксперт заявил, что автором вируса, по его мнению, является 18-летний немецкий студент, обучающийся в Австралии. Однако представители Федеральной полиции Австралии утверждают, что у них нет никаких данных в пользу этой версии.

В продолжение темы:

2002-01-18

Как превратить script kiddies в настоящих программистов?

Обсуждение и комментарии

	Clinton 10 May 2000 8:10 PM
Все! Пишу вирус. А в теле вируса такую строчку: "I'm W.Clinton. I hate to go to White House... suck. I like to play on sax. @Copyright (c) 2000 ClintonSoft Group- Washington, D.C." Пусть ФБР и меня "найдет".

	poison 11 May 2000 5:19 AM
Во-Во !!!!!

	Shadow 11 May 2000 11:50 AM
Электронные документы и документы в электронном виде не могут быть представлены как доказательства, поскольку их автор (владелец, создатель) не может быть однозначно идентифицирован. Презумпцию невиновности еще никто не отменял. Однако, такие документы могут быть "предметами расследования". Но если парень не расколется сам, никто не сможет доказать, что он "не прав".

	Andrew - andrewardi.lv 11 May 2000 4:48 PM
Mir lamerov , ves` mir lamerov. Izza gluposti i lamerstva vsego mira posadjat cheloveka.

← апрель 2000

4 5 6 9 10 11 12 15 16

июнь 2000 →