Ohjelmistosuunnittelija jäljitti viruskirjoittajan

Suomalaisen tietotekniikkayhtiön ohjelmistosuunnittelija Toni Koivunen, 26, hankki Kanadan poliisille todisteet, joiden perusteella Randex-madon tekemisestä epäilty henkilö pidätettiin viime viikolla.

Viruskirjoittajan metsästys käynnistyi helmikuun alussa, kun Koivusen työkaverin tietokone alkoi viikonlopun jälkeen hidastella, eikä ylläpitoon saatu yhteyttä.

”Tarkistin kaverin koneen ja sieltä löytyikin useita viruksia, jotka lähetin myös omaan sähköpostiini. Myöhemmin aktivoin niitä ajankuluksi ja huomasin, että eräs niistä kirjautuu aktivoituessaan irc-palvelimelle”, Koivunen kertoo.

Hän seurasi madon jälkiä ja kirjautui omalla irc-client-ohjelmallaan palvelimelle, joka paljastui massiiviseksi madon saastuttamien tietokoneiden komentoverkoksi.

”Kanavalla ohjattiin noin 2500 matokoneen verkkoa. Palvelimen lokitietojen mukaan yhtäaikaa koneita oli ollut paikalla parhaimmillaan yli 4000. Kaikkiaan eri ip-osoitteita oli käynyt kanavalla noin 40000”, Koivunen kertoo komentoverkon laajuudesta.

Keskustelua kirjoittajan kanssa

Kanavalle ilmaantui myös matoverkkonsa levittäytymistä ohjannut matojen tekijä. Viruskirjoittajan toimista kiinnostunut Koivunen kirjoitti oman ohjelman, joka tallensi palvelimen tapahtumia. Seurattuaan komentojen jakoa aikansa hän aloitti keskustelun viruskirjoittajan kanssa.

”Aluksi hän oli hieman pelokkaampi. Kyselin kaikenlaista viruksien kirjoittamisesta ja myös ihan muista asioista. Häntä kiinnosta kovasti olenko virustutkija tai poliisi.”

Viruskirjoittaja ei halunnut keskustella omassa komentoverkossaan, joten seuraavien viikkojen aikana jatkuneet keskustelut käytiin muilla irc-palvelimilla.

”Hänen jutuistaan kyllä paistoi läpi se, että hän oli tyytyväinen, kun joku löysi kanavan. Ensimmäisiä asioita, joita hän tiedusteli minulta oli, haluisinko hänen opettavan minua virusten tekemisessä”, Koivunen kertoo.

Noin kolme viikkoa kestäneen seurannan aikana viruskirjoittaja valmisti ja levitti Randex-madosta useita versioita, joista Koivunen raportoi edelleen F-Securelle.

”Parhaimmillaan madoista oli tieto puolessa tunnissa virustorjujilla. F-Secure esti matojen leviämisen sulkemalla web-palvelimia, joita madon levittämiseen käytettiin.”

16-vuotias poikapidätettiin

Keskustelujen aikana Koivunen selvitti muun muassa viruskirjoittajan asuinalueen. F-Securen kanssa käytyjen keskustelujen perusteella kertyneet tiedot hän toimitti eteenpäin Kanadan poliisille.

Viime viikolla tietojen perusteella pidätettiin Toronton alueella asuva 16-vuotias poika. Kanadan viranomaisten mukaan häntä epäillään Randex-perheen matojen tekemisestä ja levittämisestä.

Koivusen mukaan nuoren motiivi vaikutti olevan enemmänkin taitojen testaaminen kuin vahingonteko tai taloudellisen hyödyn tavoittelu.

”Hän kyseli minulta, että ei kai botti ollut tehnyt pahaa jälkeä järjestelmääni ja pahoitteli, jos näin oli käynyt.”

Koivunen kertoo jäljittäneensä viruskirjoittajan lähinnä omasta mielenkiinnostaan. Ensimmäisen virusjutun ratkettua Koivunen on ehtinyt selvittelemään muutaman muun haittaohjelman alkuperää. Hän kertoo toimittaneensa osan tiedoista jo eteenpäin viranomaisille.

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Konkarisijoittaja Tom Tukiainen, 59, pani 100 000 euroa riskillä turvapaikanhakijoihin

    2. 2

      USU: Kaavailtu muutos asuntolainakattoon herätti huolen – ”Ei nuorella ole kesämökkiä myytäväksi”

    3. 3

      ”Alkaako miesten katoaminen työvoimasta jo lapsuudessa?”

    4. 4

      Nyt puhuu Go! Aviationin ex-työntekijä: Syttyi käsittämätön ilmiriita

    5. 5

      Brittilehti hehkuttaa suomalaista perustulokokeilua – ongelmia kaksi

    6. 6

      Ford pelasi uhkapeliä Venäjän markkinalla, ja se alkoi kannattaa

    7. 7

      Sunnuntaisuomalainen: Pimeä passikauppa näkyy Suomessa

    8. 8

      Näkökulma: Sijoittajalla huolestuttavan houkuttelevat tulevaisuuden näkymät

    9. 9

      Näin huippukykyjä houkutellaan: yhdeksän erikoista työsuhde-etua

    10. 10

      Julkkisten rahoittaman lentoyhtiön kassasta katosi satoja tuhansia euroja – hakeutuu nyt konkurssiin

    11. Näytä lisää
    1. 1

      Nyt puhuu Go! Aviationin ex-työntekijä: Syttyi käsittämätön ilmiriita

    2. 2

      Näkökulma: Sijoittajalla huolestuttavan houkuttelevat tulevaisuuden näkymät

    3. 3

      Konkarisijoittaja Tom Tukiainen, 59, pani 100 000 euroa riskillä turvapaikanhakijoihin

    4. 4

      Sunnuntaisuomalainen: Pimeä passikauppa näkyy Suomessa

    5. 5

      ”Alkaako miesten katoaminen työvoimasta jo lapsuudessa?”

    6. 6

      USU: Kaavailtu muutos asuntolainakattoon herätti huolen – ”Ei nuorella ole kesämökkiä myytäväksi”

    7. 7

      Brittilehti hehkuttaa suomalaista perustulokokeilua – ongelmia kaksi

    8. 8

      Kerrostaloasuntojen rakentamisessa hurja tahti – kuin 1970-luvun maaltamuuton aikaan

    9. 9

      Merkel kuittaili Trumpille iPhoneista ja saksalaisautoista

    10. 10

      Ford pelasi uhkapeliä Venäjän markkinalla, ja se alkoi kannattaa

    11. Näytä lisää
    1. 1

      Sunnuntailisät pois, työpäivän pituus 12 tuntiin? ”Tehdään työtä silloin, kun sitä on”

    2. 2

      Yle: Kirjeessä koteihin jaettu oikea seteli hämmentää suomalaisia – osa palauttaa, vaikkei tarvitsisi

    3. 3

      ABC-asemien S-bonus muuttuu – ”Aion äänestää jaloillani”

    4. 4

      50 000 miestä parhaassa iässä ei tee töitä tai opiskele – ”Mitä heille tapahtui?”

    5. 5

      ”Kesämökkejä alkaa olla riesaksi asti” – FK ei halua, että omaisuutta pantataan perinnöksi

    6. 6

      Sunnuntailisistä nautittu 100 vuotta – joko riittää?

    7. 7

      Katsastuksiin ehdotetaan tiukennuksia – ”Turhia kustannuksia autoilijalle”

    8. 8

      Julkkisten rahoittaman lentoyhtiön kassasta katosi satoja tuhansia euroja – hakeutuu nyt konkurssiin

    9. 9

      Kuin bensaa ostaisi: Forssassa aloittaa myyjätön kauppa

    10. 10

      Sähköyhtiö kuivasi järven – jopa kaksi miljoonaa kalaa kuoli

    11. Näytä lisää