AIDS (koń trojański)

AIDS Information Trojan
	Aids Info Disk/PC Cyborg Trojan
	; Wezwanie do zapłaty 567 dolarów wyświetlane przez trojana AIDS
Inne nazwy	AIDS!Trojan, Aidsinfo. A trojan, Aidsinfo. B trojan, Cyborg, Trj/AidsInfo. A, Trojan. AidsInfo.a, Trj/AidsInfo. B, Trojan. AidsInfo.b, Trojaids!Trojan, Love virus
Rodzaj	koń trojański
Typ	ransomware
Autor	Joseph L. Popp
Dotknięte systemy operacyjne	MS-DOS
Język	QuickBasic 3.0

AIDS – koń trojański stworzony w 1989 roku, wczesna forma oprogramowania wymuszającego okup (ang. ransomware). Nazwa wirusa pochodzi od ankiety na temat choroby AIDS, która była wyświetlana na ekranie komputera.

Sposób działania[edytuj | edytuj kod]

AIDS rozsyłał się za pomocą dyskietek 5,25 cala. W grudniu 1989 roku firma PC Cyborg Corporation przesłała przesyłki do wielu osób i instytucji^[1]. Szacuje się, że rozesłano od 10 do 20 tysięcy dyskietek do 90 krajów^[1]. Paczkami były dyskietki, w których znajdowała się ankieta, której celem była ocena, na ile osoba ankietowa narażona jest na zarażenie wirusem HIV^[1]. Ankieta miała wbudowane funkcje. Po 90. restarcie komputera na monitorze wyświetlała się informacja o konieczności włączenia drukarki^[1]. Po jej uruchomieniu drukował się list z żądaniem okupu^[1].

Żądanie opłaty było dość zawoalowane i ukryte pod opłatę licencyjną za korzystanie z aplikacji. Użytkownicy byli proszeni o przesłanie 189 dolarów na skrzynkę pocztową w Panamie^[1]. Jednocześnie program szyfrował dane. Po uiszczeniu opłaty obiecywano przesłać narzędzie do odszyfrowania danych^[1].

Program napisano w języku QuickBASIC 3.0 i składał się z plików INSTALL.EXE oraz AIDS.EXE^[1]. Program AIDS.EXE sam w sobie był nieszkodliwy; całe szkodliwe oprogramowanie umieszczono w INSTALL.EXE^[1]. Po uruchomieniu INSTALL.EXE na dysku C powstawało 5 ukrytych folderów z nazwami składającymi się ze znaków HEX255^[1]. Najgłębiej zagnieżdżony folder posiadał informacje o liczniku restartów komputera oraz numer licencji^[1]. Kopiował także program AIDS.EXE do głównego katalogu dysku C oraz modyfikował AUTOEXEC.BAT^[1].

Szyfrowanie danych opierało się na specjalnej tablicy z kluczem symetrycznym. Następnie pliki otrzymywały atrybut ukryty oraz tylko do odczytu. Szyfrowane nie były tylko pliki niezbędne do uruchomienia komputera. Po kilku tygodniach w serwisach BBS oraz drogą korespondencyjną rozsyłano programy ratunkowe AIDSOUT (do usunięcia wirusa) oraz AIDSCLEAR (do odzyskania danych)^[1].

Śledztwo[edytuj | edytuj kod]

Z powodu braku jasnych uregulowań prawnych nastąpiły trudności w rozpoczęciu śledztwa^[1]. W Wielkiej Brytanii rozpoczęto śledztwo w oparciu o przepisy o oszustwie^[1]. W wyniku śledztwa ustalono, że wirus stworzył dr Joseph L. Popp, biolog zajmujący się kwestiami ewolucji z tytułem doktora z Harvardu^[1]. Joseph Popp miał dużą wiedzę na temat AIDS; zajmował się badaniami nad tą chorobą oraz był konsultantem WHO^[1]. Na liście ofiar, od których Popp żądał okupu, znalazło się setki instytucji badawczych i naukowców pracujących nad problemem AIDS^[1]. Jedna z hipotez mówi, że wirus ten powstał w wyniku nieprzyjęcia Poppa na etat w WHO i mogła to być forma zemsty^[1]. Ostatecznie do dzisiaj nie wiadomo, czym kierował się Joseph Popp tworząc konia trojańskiego^[1].

Joseph Popp został zatrzymany na lotnisku w Amsterdamie. Zwrócił na siebie uwagę pisząc na walizce DR POPP ZOSTAŁ OTRUTY^[1]. Po przeszukaniu jego bagażu znaleziono etykiety z nazwą firmy PC Cyborg Corporation. Tam przekazano Poppa do Wielkiej Brytanii, gdzie toczyło się już śledztwo przeciwko niemu. Po dwóch latach uznano go za niepoczytalnego na podstawie opinii psychiatrycznej^[1].

Teza o niepoczytalności spotkała się z krytyką. Podczas śledztwa policja znalazła pamiętnik, wskazujący, że całą akcję dr Popp planował przez półtora roku i szykował produkcję kolejnych 2 milionów dyskietek^[1].

Joseph Popp wrócił do Stanów Zjednoczonych, gdzie kontynuował badania naukowe^[1]. Badał życie afrykańskich małp i otworzył wystawę motyli w Nowym Jorku^[1].

Dostarczenie dyskietek[edytuj | edytuj kod]

Joseph Popp szukał ofiar wśród listy uczestników konferencji poświęconej AIDS oraz z zakupionej listy użytkowników komputerów (w tym listy abonentów gazety PC Business World)^[1]. Poprzez pocztę priorytetową z Londynu wysłano liczne dyskietki 11 grudnia 1989 roku^[1]. Przesyłki do Stanów Zjednoczonych nie trafiły do żadnego adresata^[1]. Prawdopodobnie dr Popp wiedział, że w Stanach Zjednoczonych istniały już przepisy prawne dotyczące przestępstw komputerowych^[1]. Dyskietki z koniem trojańskim wysyłano w białej kopercie opisane AIDS Information Introductory Diskette Version 2.0^[1].

Przypisy[edytuj | edytuj kod]

↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l ^m ⁿ ^o ^p ^q ^r ^s ^t ^u ^v ^w ^x ^y ^z ^aa ^ab ^ac ^ad zaufanatrzeciastrona.pl: AIDS, dyskietki i skrzynka pocztowa w Panamie, czyli ransomware sprzed 26 lat. 2015-03-29. [dostęp 2015-03-29]. (pol.).

Linki zewnętrzne[edytuj | edytuj kod]

Prezentacja przedstawiająca oryginalny list zawierający dyskietkę z koniem trojańskim AIDS i instrukcją instalacji [dostęp 2015-11-29]

[zaufanatrzeciastrona-1] ↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l ^m ⁿ ^o ^p ^q ^r ^s ^t ^u ^v ^w ^x ^y ^z ^aa ^ab ^ac ^ad zaufanatrzeciastrona.pl: AIDS, dyskietki i skrzynka pocztowa w Panamie, czyli ransomware sprzed 26 lat. 2015-03-29. [dostęp 2015-03-29]. (pol.).

[1]