AIDS (koń trojański)

AIDS Information Trojan
	Aids Info Disk/PC Cyborg Trojan
	; Wezwanie do zapłaty 567 dolarów wyświetlane przez trojana AIDS
Inne nazwy	AIDS!Trojan, Aidsinfo. A trojan, Aidsinfo. B trojan, Cyborg, Trj/AidsInfo. A, Trojan. AidsInfo.a, Trj/AidsInfo. B, Trojan. AidsInfo.b, Trojaids!Trojan, Love virus
Rodzaj	koń trojański
Typ	ransomware
Autor	Joseph L. Popp
Dotknięte systemy operacyjne	MS-DOS
Język	QuickBasic 3.0

AIDS – koń trojański stworzony w 1989 roku, wczesna forma oprogramowania wymuszającego okup (ang. ransomware). Nazwa wirusa pochodzi od ankiety na temat choroby AIDS, która była wyświetlana na ekranie komputera.

Sposób działania

AIDS rozsyłał się za pomocą dyskietek 5,25 cala. W grudniu 1989 roku firma PC Cyborg Corporation przesłała przesyłki do wielu osób i instytucji^[1]. Szacuje się, że rozesłano od 10 do 20 tysięcy dyskietek do 90 krajów^[1]. Paczkami były dyskietki, w których znajdowała się ankieta, której celem była ocena, na ile osoba ankietowa narażona jest na zarażenie wirusem HIV^[1]. Ankieta miała wbudowane funkcje. Po 90. restarcie komputera na monitorze wyświetlała się informacja o konieczności włączenia drukarki^[1]. Po jej uruchomieniu drukował się list z żądaniem okupu^[1].

Żądanie opłaty było dość zawoalowane i ukryte pod opłatę licencyjną za korzystanie z aplikacji. Użytkownicy byli proszeni o przesłanie 189 dolarów na skrzynkę pocztową w Panamie^[1]. Jednocześnie program szyfrował dane. Po uiszczeniu opłaty obiecywano przesłać narzędzie do odszyfrowania danych^[1].

Program napisano w języku QuickBASIC 3.0 i składał się z plików INSTALL.EXE oraz AIDS.EXE^[1]. Program AIDS.EXE sam w sobie był nieszkodliwy; całe szkodliwe oprogramowanie umieszczono w INSTALL.EXE^[1]. Po uruchomieniu INSTALL.EXE na dysku C powstawało 5 ukrytych folderów z nazwami składającymi się ze znaków HEX255^[1]. Najgłębiej zagnieżdżony folder posiadał informacje o liczniku restartów komputera oraz numer licencji^[1]. Kopiował także program AIDS.EXE do głównego katalogu dysku C oraz modyfikował AUTOEXEC.BAT^[1].

Szyfrowanie danych opierało się na specjalnej tablicy z kluczem symetrycznym. Następnie pliki otrzymywały atrybut ukryty oraz tylko do odczytu. Szyfrowane nie były tylko pliki niezbędne do uruchomienia komputera. Po kilku tygodniach w serwisach BBS oraz drogą korespondencyjną rozsyłano programy ratunkowe AIDSOUT (do usunięcia wirusa) oraz AIDSCLEAR (do odzyskania danych)^[1].

Śledztwo

Z powodu braku jasnych uregulowań prawnych nastąpiły trudności w rozpoczęciu śledztwa^[1]. W Wielkiej Brytanii rozpoczęto śledztwo w oparciu o przepisy o oszustwie^[1]. W wyniku śledztwa ustalono, że wirus stworzył dr Joseph L. Popp, biolog zajmujący się kwestiami ewolucji z tytułem doktora z Harvardu^[1]. Joseph Popp miał dużą wiedzę na temat AIDS; zajmował się badaniami nad tą chorobą oraz był konsultantem WHO^[1]. Na liście ofiar, od których Popp żądał okupu, znalazło się setki instytucji badawczych i naukowców pracujących nad problemem AIDS^[1]. Jedna z hipotez mówi, że wirus ten powstał w wyniku nieprzyjęcia Poppa na etat w WHO i mogła to być forma zemsty^[1]. Ostatecznie do dzisiaj nie wiadomo, czym kierował się Joseph Popp tworząc konia trojańskiego^[1].

Joseph Popp został zatrzymany na lotnisku w Amsterdamie. Zwrócił na siebie uwagę pisząc na walizce DR POPP ZOSTAŁ OTRUTY^[1]. Po przeszukaniu jego bagażu znaleziono etykiety z nazwą firmy PC Cyborg Corporation. Tam przekazano Poppa do Wielkiej Brytanii, gdzie toczyło się już śledztwo przeciwko niemu. Po dwóch latach uznano go za niepoczytalnego na podstawie opinii psychiatrycznej^[1].

Teza o niepoczytalności spotkała się z krytyką. Podczas śledztwa policja znalazła pamiętnik, wskazujący, że całą akcję dr Popp planował przez półtora roku i szykował produkcję kolejnych 2 milionów dyskietek^[1].

Joseph Popp wrócił do Stanów Zjednoczonych, gdzie kontynuował badania naukowe^[1]. Badał życie afrykańskich małp i otworzył wystawę motyli w Nowym Jorku^[1].

Dostarczenie dyskietek

Joseph Popp szukał ofiar wśród listy uczestników konferencji poświęconej AIDS oraz z zakupionej listy użytkowników komputerów (w tym listy abonentów gazety PC Business World)^[1]. Poprzez pocztę priorytetową z Londynu wysłano liczne dyskietki 11 grudnia 1989 roku^[1]. Przesyłki do Stanów Zjednoczonych nie trafiły do żadnego adresata^[1]. Prawdopodobnie dr Popp wiedział, że w Stanach Zjednoczonych istniały już przepisy prawne dotyczące przestępstw komputerowych^[1]. Dyskietki z koniem trojańskim wysyłano w białej kopercie opisane AIDS Information Introductory Diskette Version 2.0^[1].

Przypisy

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 zaufanatrzeciastrona.pl: AIDS, dyskietki i skrzynka pocztowa w Panamie, czyli ransomware sprzed 26 lat. 2015-03-29. [dostęp 2015-03-29]. (pol.).

Linki zewnętrzne

Prezentacja przedstawiająca oryginalny list zawierający dyskietkę z koniem trojańskim AIDS i instrukcją instalacji [dostęp 2015-11-29]

[zaufanatrzeciastrona-1] 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 zaufanatrzeciastrona.pl: AIDS, dyskietki i skrzynka pocztowa w Panamie, czyli ransomware sprzed 26 lat. 2015-03-29. [dostęp 2015-03-29]. (pol.).

[1]

Aids Info Disk/PC Cyborg Trojan
Wezwanie do zapłaty 567 dolarów wyświetlane przez trojana AIDS
Inne nazwy	AIDS!Trojan, Aidsinfo. A trojan, Aidsinfo. B trojan, Cyborg, Trj/AidsInfo. A, Trojan. AidsInfo.a, Trj/AidsInfo. B, Trojan. AidsInfo.b, Trojaids!Trojan, Love virus
Rodzaj	koń trojański
Typ	ransomware
Autor	Joseph L. Popp
Dotknięte systemy operacyjne	MS-DOS
Język	QuickBasic 3.0