Попытка доказать причастность Смита к созданию других вирусов, написанных под псевдонимом VicodinES, была серьезным испытанием

Поймать писателя вирусов — нелегкая задача. Определить «кто что написал?» — тоже трудно. Возьмите случай Дэвида Смита, сознавшегося в написании вируса Melissa. Попытка доказать причастность Смита к созданию других вирусов, написанных под псевдонимом VicodinES, была серьезным испытанием.

За выполнение этой задачи взялась творческая группа компании TechTV «Сайберкрайм» (CyberCrime), и этот пересказ (может быть, я буду выглядеть помешаным) того, как они это делали, показывает, каким образом судебный компьютерный аналитик может попытаться найти зацепки в кодах вирусов для установления личности автора.

Пытаясь определить, был ли Дэвид Смит тайным создателем вирусов и наставником, называвшим себя VicodinES, репортеры TechTV решили, что если Смит и VicodinES — это не одно и то же лицо, то по крайней мере они достаточно близкие люди, может быть братья.

Как Смит, так и VicodinES пользовались услугами одного Интернет-провайдера — «Монмаут-Интернет» (Monmouth Internet), штат Нью-Джерси. Вирус Melissa был запущен в Интернет с использованием IP-адреса из Монмаут-Интернет, и Смита задержали, когда этот IP-адрес вел прямо на его учетную запись в тот же день. IP-адрес был уликой, но определенные метаданные, внедренные в вирус, выставляли его имя на всеобщее обозрение.

Но электронное письмо, написанное VicodinES для аннулирования своего сайта на SourceOfKaos.com, также пришло с IP-адреса, имевшегося в Монмаут-Интернет. И это больше чем идентичность IP-адресов Смита и VicodinES. Согласно интервью, опубликованному в 1997 году электронной рассылкой VDAT, пишущей на темы вирусов, Смит и VicodinES делили между собой один возраст, одно место жительства и пристрастие к лекарственным препаратам.

В интервью, данном в 1977 году, VicodinES говорит, что он любит шарики шоколадного мороженого из «Шоп-райт». Шоп-райт (Shop Rite) — это большая сеть супермаркетов, открытая в приатлантических штатах, но большинство из них расположено в Нью-Джерси. Фактически и в Абердине, родном городе Смита, есть «Шоп-райт». В том же интервью VicodinES поясняет, когда он начал заниматься компьютерами: «Мне было 14 или 15 лет, и папа мне купил TI-994/A… Это было, кажется, году в 1982. Может быть немного позже». Из этого можно сделать вывод, что ему около 30 лет, столько же, сколько и Дэвиду Смиту.

Также, кроме шуток, VicodinES любит пользоваться болеутоляющими средствами всех видов. Такой псевдоним был взят потому, что это слово постоянно вертелось у меня в голове, когда я решил начать писать вирусы, и я подумал, что это был некий знак». Далее в интервью он заявляет: «Не думайте, что вы можете просто так пригласить меня в свой дом, без того чтобы я не осмотрел вашу аптечку в ванной и не поискал там болеутоляющие средства. Я украду их, вы должны рассчитывать на это».

Согласно Сан-Франциско Кроникл (San Francisco Chronicle), Дэвид Смит использовал в Интернете псевдоним Zanax.Smith. Zanax, известный также под именем Xanax, — это вызывающий привыкание транквилизатор, который снимает беспокойство, и, одновременно является болеутоляющим средством. VicodinES и Смит также имели одну и ту же профессию. В 1997 году VicodinES возглавлял отдел систем административной информации в крупной инжиниринговой фирме. Смит — контрактный программист на AT&T. Это не удивительно, писатели, создавшие такой мощный вирус были, вероятно, очень хорошими программистами.

В 1998 году VicodinES оставил так называемую «Наркотическую сеть» (Narkotic Network) и вступил в «Коудбрейкерз» (Codebreakers). ФБР накрыло web-сайты как SourceOfKaos, где размещалась группа «Наркотическая сеть», в которую входил VicodinES, так и «Коудбрейкерз». Но столь сильно разнящиеся стили программирования вирусов Melissa и VicodinES по-прежнему питают веру министра юстиции штата Нью-Джерси в то, что Смит и VicodinES — это разные люди.

Также было упомянуто имя Опик (Opic), другого создателя вирусов из сети «Коудбрейкерз», и есть предположение, что это, возможно, еще один псевдоним Смита. Согласно интервью с VDAT, Opic часто называл свои вирусы женскими именами, и ему было около 30 лет. Тем не менее в том же интервью, Опик заявляет, что он не использует компьютеры на своей дневной работе, что, делает связь Опик-Смит менее очевидной.

По-прежнему, рассматривая все похожие моменты между Смитом и VicodinES, можно утверждать, что, если это не одно и то же лицо, то они, по крайней мере, знали друг друга персонально, а не только в Сети. А с тех пор как выяснилось, что Смит написал вирус Melissa на основе работы, сделанной ранее VicodinES, эта связь могла быть больше, чем просто случайной.

Из этого расследования вы можете видеть, что технические вопросы написания вируса, вкупе со вниманием СМИ и общением между писателями вирусов -все это вместе — используется для выстраивания дела против подозреваемого создателя вирусов. Тем не менее нужно еще и привести доказательства вины «плохих ребят». Аресты и другие меры пресечения для писателей вирусов случаются довольно редко. По этой причине для «плохих цифровых ребят» этот тип преступлений так привлекателен — шансы быть пойманными практически равны нулю.