UPDATE: Virusonderzoek concentreert zich volledig op Filippijnen

Twijfel blijft bestaan over de identiteit van de schrijver

08 mei 2000 | Jamie Biesemans Het onderzoek naar de oorsprong van het ILOVEYOU-virus lijkt zich volledig te concentreren op een verdachte woonachtig in de Filippijnen. Hoewel sommige experts stellen dat de schuldige elders moet worden gezocht, zijn de meeste politiediensten overtuigd dat het Filippijns spoor heel binnenkort resultaat zal opleveren. Daarvoor steunen ze op een zestal bewijsstukken die werden teruggevonden in de programmacode van ILOVEYOU en de downloadbare component WINBUGSFIX.EXE. Eerst en vooral is er de alias van de schrijver, spyder, met daaraan verbonden een e-mailadres. In WINBUGSFIX.EXE zit een tweede e-mailadres. Daarnaast hebben onderzoekers in de code ook de naam 'Barok', de zin 'i hate go to school' en de naam van een groep, 'GRAMMERSoft', teruggevonden.

Het is vooral de naam Barok die een waardevolle aanwijzing blijkt te zijn. In januari werd een hackprogramma op het Internet ontdekt, met de naam Barok 2.1. Dat programma had een zeer gelijkaardige werking als WINBUGSFIX.EXE en verschilt op gebied van code zelfs maar met vier bytes. In Barok 2.1 staat een langere tekst: "barok... i hate to go to school suck - by spyder @Copyright (c) 2000 GRAMMERSoft Group-Manila, Phils". Hierdoor werd het vermoeden versterkt dat de auteur van Barok en ILOVEYOU een en dezelfde persoon zijn. In beide staat de naam spyder aangegeven als auteur. Bijkomende gegevens vond de politie in de voorgaande versie van Barok. Daar werd de zin "BAROK -- student of amacc mkt. phils - by: spyder @Copyright (c) 2000 GRAMMERSoft Group" teruggevonden". Een laatste aanwijzing, want AMACC is een informaticahogeschool in Manilla.

Maar hoe het nu met het onderzoek zit, blijft onduidelijk. De Filippijnse politie beweert de verdachte - eerst een 23-jarige man, nu een vrouw - al sinds vrijdag onder surveillance te hebben. Toch is er nog geen arrestatie geweest. Eerst zeiden de autoriteiten dat dit kwam omdat zij in het weekend geen bevoegde rechter konden opsporen, terwijl recente berichten zeggen dat de vrouw onder Filippijnse recht niet kan worden aangehouden. Over hacken en het schrijven van virussen blijkt geen toepasselijke wetgeving te bestaan. Bovendien blijkt 'spyder' voortvluchtig te zijn en zou ze mogelijk alle bewijzen kunnen vernietigen, vrezen de politiediensten.

Update:
De Filippijnse autoriteiten hebben na een grootschalige operatie waarbij een appartement werd doorzocht, een man in handboeien afgevoerd. De National Bureau of Investigation, die de aanhouding verrichtte, heeft buiten de identiteit van de persoon geen informatie vrijgegeven. Het zou gaan om de 30-jarige bankbediende Romel Lamores.

Een jonge vrouw, in alle waarschijnlijkheid de vriendin van Lamores, zou via haar advocaat beloofd hebben haarzelf aan te geven bij de politie later op de dag.

Hoewel er aanvankelijk problemen bestonden om een aanhoudingsbevel te krijgen - het schrijven van een virus is niet verboden door de Filippijnse wetmaker - vonden experts van de NBI uiteindelijk een geldig rechtsgrond in een wet over het beheren en ontvreemden van paswoorden en rekeningnummers. Lees meer artikels over : iloveyou, virus, filippijnen

bron: ZDNet