ILOVEYOU: Filippinsk politi søker arrestordre mot student

Politiet og etterretningstjenesten NBI i Manila søker arrestordre mot en student. De advarer at sporene til studenten er så åpne at det kan være en avledning.

Ifølge filippinske aviser (Philippine Daily Inquirer, Philippine Star, Manila Times og Manila Bulletin) er arrestordren forsinket fordi verken politiet eller etterretningstjenesten NBI (National Bureau of Investigation) har greid å finne en dommer som forstår at det haster å pågripe den mistenkte - og den aktuelle PC-en - før alle spor slettes.

Den mistenkte skal være student ved en IT-høyskolen AMA Computer College i Manila - oppkalt etter landets år 2000-general Amable Mendoza Aguiluz - og være 22 eller 23 år gammel. Offisielt heter det seg at det dreier seg om en mann. Men en anonym kilde i politiet har sagt til flere av Manila-avisene at det dreier seg om en kvinne.

Sjefen for datakrim-avdelingen i NBI, Nelson Bartolome, uttaler at det er samlet dokumentasjon og vitneutsagn som peker mot den mistenkte, og at det pågår overvåkning.

Myndighetene mener å ha bevis for at ILOVEYOU stammer fra to forhåndsbetalte og anonyme e-post-kontoer av en type kjent som Supernet hos Internett-tilbyderen Access Net Inc i Manila. Disse kontoene ble bruk til å hacke seg inn til to andre filippinske tilbydere, ImpactNET og SKYiNet, for å spre ormen til de første ofrene.

Dokumentasjonen mot den mistenkte består dels av datarelaterte spor etterlatt hos Internett-tilbydere i Manila, dels av spor funnet av eksperter hos det amerikanske sikkerhetsselskapet ICSA Inc som har analysert koden i ILOVEYOU-ormen. Her er det flere referanser til en student ved AMA Computer College. ILOVEYOU inneholder en passordkaprer som på fire biter nær er identisk med passordkapreren Barok som ble lagt ut på Internett i januar i år. Også Barok inneholder referanser til AMA.

Politiet i Manila advarer at sporene kan være en avledning. Det sier også at selv om man er rimelig sikker på at PC-en til den mistenkte har spilt en nøkkelrolle i å sette i gang spredningen av den ondsinnede koden, er det ikke sikkert at studenten selv er skyldig.

Stipendiat Fredrik Björk ved Stockholms universitet, kjent blant annet fra sitt bidrag til å avsløre opphavet til Melissa-viruset som herjet verden i fjor, fastholder at den skyldige er en rundt tjue år gammel mannlig tysk utvekslingsstudent i Australia, identifisert som "Michael". Björk underbygger dette ved analyser av chat-materiale. Noe av dette materiale er overgitt det amerikanske føderale politiet FBI. Björk innrømmer at han ikke har bevist for at Michael var i Filippinene når ormen ble lastet for første gang 4. mai.

Ifølge det amerikanske CERT (Computer Emergency Response Team) har det vært forholdsvis liten spredning siden fredag ettermiddag, trass i at det er identifisert minst elleve varianter av den opprinnelige ormen. To av disse utmerker seg spesielt. En opptrer som en bekreftelse på at du har bestilt en morsdagsgave verdt 326,92 dollar, og ber deg klikke på vedlagte faktura for å sjekke bestillingen. En annen opptrer som en advarsel fra antivirusleverandøren Symantec.

Skadeanslagene varierer sterkt. De høyeste er på 10 milliarder dollar. Computer Economics Inc har foreløpig konkludert med 2,61 milliarder dollar, hovedsakelig på grunn av tapte og bortkastede arbeidstimer.

New York Times har en lang artikkel om problemene hos Ford, som fikk sitt internasjonale nettverk - 130.000 datamaskiner i 46 land - infisert, og der all e-post måtte stanses et døgns tid. Over tusen servere var infisert. Bare i Europa mottok 30.000 medarbeidere til sammen 140.000 e-post-meldinger med ILOVEYOU-ormen. Men alle 114 fabrikkene holdt produksjonen i gang, og ingen grafiske eller tekniske data gikk tapt. Spesialiserte nettsteder for delleverandører og forhandlere var heller ikke rammet. Men noen personlige kalendre og arkivbilder av ansatte gikk tapt. Ford samarbeidet med Hewlett-Packard og Microsoft om å snekre sammen et program som automatisk rensket nettverket for ormen. Tapene hos Ford synes begrenset av en effektivitetsøkning som følge av at mange medarbeidere endelig fikk oppleve en dag fri for e-post.

Avisa Philippine Daily Inquirer peker på at Filippinene tidligere er assosiert med to PC-virus. I 1990 ble et av de mest alminnelige DOS-virusene, C-Brain, sporet til den filippinske byen Cebu. I 1992 ble filippineren Jonathan Gumba beryktet som opphavet til et virus kjent som "Posessed!".

Les disse tidligere sakene om ILOVEYOU-ormen:


Er det kun på Windows at Loveletter-liknende fenomener kan opptre?
Antivirusselskapene ventet med virusvarsel
Kjærlighetsormen liker ikke epler
Kjent virusmaker trolig bak lyn-ormen
Signert e-post kunne kvelt ILOVEYOU
Mange misforståelser om ILOVEYOU-ormen
Ibas gjenoppretter tapte bildefiler
ILOVEYOU infiserte alt fra Microsoft til Pentagon
I love you-ormen ødelegger all filsikkerhet i Windows NT
Verdens raskeste selvspredende virus
Se opp for monster-virus

Til toppen