AIDS (koń trojański)
Aids Info Disk/PC Cyborg Trojan | |
Wezwanie do zapłaty 567 dolarów wyświetlane przez trojana AIDS | |
Inne nazwy |
AIDS!Trojan, Aidsinfo. A trojan, Aidsinfo. B trojan, Cyborg, Trj/AidsInfo. A, Trojan. AidsInfo.a, Trj/AidsInfo. B, Trojan. AidsInfo.b, Trojaids!Trojan, Love virus |
---|---|
Rodzaj | |
Typ | |
Autor |
Joseph L. Popp |
Dotknięte systemy operacyjne | |
Język |
QuickBasic 3.0 |
AIDS – koń trojański stworzony w 1989 roku, wczesna forma oprogramowania wymuszającego okup (ang. ransomware). Nazwa wirusa pochodzi od ankiety na temat choroby AIDS, która była wyświetlana na ekranie komputera.
Sposób działania
[edytuj | edytuj kod]AIDS rozsyłał się za pomocą dyskietek 5,25 cala. W grudniu 1989 roku firma PC Cyborg Corporation przesłała przesyłki do wielu osób i instytucji[1]. Szacuje się, że rozesłano od 10 do 20 tysięcy dyskietek do 90 krajów[1]. Paczkami były dyskietki, w których znajdowała się ankieta, której celem była ocena, na ile osoba ankietowa narażona jest na zarażenie wirusem HIV[1]. Ankieta miała wbudowane funkcje. Po 90. restarcie komputera na monitorze wyświetlała się informacja o konieczności włączenia drukarki[1]. Po jej uruchomieniu drukował się list z żądaniem okupu[1].
Żądanie opłaty było dość zawoalowane i ukryte pod opłatę licencyjną za korzystanie z aplikacji. Użytkownicy byli proszeni o przesłanie 189 dolarów na skrzynkę pocztową w Panamie[1]. Jednocześnie program szyfrował dane. Po uiszczeniu opłaty obiecywano przesłać narzędzie do odszyfrowania danych[1].
Program napisano w języku QuickBASIC 3.0 i składał się z plików INSTALL.EXE oraz AIDS.EXE[1]. Program AIDS.EXE sam w sobie był nieszkodliwy; całe szkodliwe oprogramowanie umieszczono w INSTALL.EXE[1]. Po uruchomieniu INSTALL.EXE na dysku C powstawało 5 ukrytych folderów z nazwami składającymi się ze znaków HEX255[1]. Najgłębiej zagnieżdżony folder posiadał informacje o liczniku restartów komputera oraz numer licencji[1]. Kopiował także program AIDS.EXE do głównego katalogu dysku C oraz modyfikował AUTOEXEC.BAT[1].
Szyfrowanie danych opierało się na specjalnej tablicy z kluczem symetrycznym. Następnie pliki otrzymywały atrybut ukryty oraz tylko do odczytu. Szyfrowane nie były tylko pliki niezbędne do uruchomienia komputera. Po kilku tygodniach w serwisach BBS oraz drogą korespondencyjną rozsyłano programy ratunkowe AIDSOUT (do usunięcia wirusa) oraz AIDSCLEAR (do odzyskania danych)[1].
Śledztwo
[edytuj | edytuj kod]Z powodu braku jasnych uregulowań prawnych nastąpiły trudności w rozpoczęciu śledztwa[1]. W Wielkiej Brytanii rozpoczęto śledztwo w oparciu o przepisy o oszustwie[1]. W wyniku śledztwa ustalono, że wirus stworzył dr Joseph L. Popp, biolog zajmujący się kwestiami ewolucji z tytułem doktora z Harvardu[1]. Joseph Popp miał dużą wiedzę na temat AIDS; zajmował się badaniami nad tą chorobą oraz był konsultantem WHO[1]. Na liście ofiar, od których Popp żądał okupu, znalazło się setki instytucji badawczych i naukowców pracujących nad problemem AIDS[1]. Jedna z hipotez mówi, że wirus ten powstał w wyniku nieprzyjęcia Poppa na etat w WHO i mogła to być forma zemsty[1]. Ostatecznie do dzisiaj nie wiadomo, czym kierował się Joseph Popp tworząc konia trojańskiego[1].
Joseph Popp został zatrzymany na lotnisku w Amsterdamie. Zwrócił na siebie uwagę pisząc na walizce DR POPP ZOSTAŁ OTRUTY[1]. Po przeszukaniu jego bagażu znaleziono etykiety z nazwą firmy PC Cyborg Corporation. Tam przekazano Poppa do Wielkiej Brytanii, gdzie toczyło się już śledztwo przeciwko niemu. Po dwóch latach uznano go za niepoczytalnego na podstawie opinii psychiatrycznej[1].
Teza o niepoczytalności spotkała się z krytyką. Podczas śledztwa policja znalazła pamiętnik, wskazujący, że całą akcję dr Popp planował przez półtora roku i szykował produkcję kolejnych 2 milionów dyskietek[1].
Joseph Popp wrócił do Stanów Zjednoczonych, gdzie kontynuował badania naukowe[1]. Badał życie afrykańskich małp i otworzył wystawę motyli w Nowym Jorku[1].
Dostarczenie dyskietek
[edytuj | edytuj kod]Joseph Popp szukał ofiar wśród listy uczestników konferencji poświęconej AIDS oraz z zakupionej listy użytkowników komputerów (w tym listy abonentów gazety PC Business World)[1]. Poprzez pocztę priorytetową z Londynu wysłano liczne dyskietki 11 grudnia 1989 roku[1]. Przesyłki do Stanów Zjednoczonych nie trafiły do żadnego adresata[1]. Prawdopodobnie dr Popp wiedział, że w Stanach Zjednoczonych istniały już przepisy prawne dotyczące przestępstw komputerowych[1]. Dyskietki z koniem trojańskim wysyłano w białej kopercie opisane AIDS Information Introductory Diskette Version 2.0[1].