AIDS (koń trojański)

AIDS – koń trojański z 1989 roku

AIDS to koń trojański, który pojawił się w 1989 roku, będący jedną z pierwszych form ransomware. Nazwa wirusa wywodzi się z ankiety dotyczącej choroby AIDS, która była wyświetlana na ekranie komputera.

Sposób działania

Wirus AIDS rozprzestrzeniał się za pośrednictwem dyskietek 5,25 cala. W grudniu 1989 roku firma PC Cyborg Corporation wysłała przesyłki do wielu osób oraz instytucji. Szacuje się, że rozesłano od 10 do 20 tysięcy dyskietek do 90 krajów. W przesyłkach znajdowały się dyskietki z ankietą, której celem była ocena ryzyka zarażenia wirusem HIV. Ankieta miała wbudowane funkcje, które po 90. restarcie komputera wyświetlały informację o konieczności uruchomienia drukarki. Po jej włączeniu drukował się list z żądaniem okupu.

Żądanie opłaty było ukryte pod pretekstem opłaty licencyjnej za korzystanie z aplikacji. Użytkownicy byli proszeni o przesłanie 189 dolarów na skrzynkę pocztową w Panamie. W międzyczasie program szyfrował dane. Po dokonaniu płatności obiecywano przesłać narzędzie do odszyfrowania danych.

Program został napisany w języku QuickBASIC 3.0 i składał się z plików INSTALL.EXE oraz AIDS.EXE. Sam plik AIDS.EXE był nieszkodliwy; cała szkodliwość znajdowała się w INSTALL.EXE. Po uruchomieniu INSTALL.EXE na dysku C tworzyło się pięć ukrytych folderów o nazwach złożonych z znaków HEX255. Najgłębiej ukryty folder zawierał informacje o liczniku restartów komputera oraz numerze licencji. Kopiował również program AIDS.EXE do głównego katalogu dysku C i modyfikował AUTOEXEC.BAT.

Szyfrowanie danych opierało się na specjalnej tablicy z kluczem symetrycznym. Pliki zyskiwały atrybuty ukryty oraz tylko do odczytu, z wyjątkiem tych niezbędnych do uruchomienia systemu. Po kilku tygodniach w serwisach BBS oraz drogą korespondencyjną zaczęto rozsyłać programy ratunkowe AIDSOUT (do usunięcia wirusa) oraz AIDSCLEAR (do odzyskania danych).

Śledztwo

W związku z brakiem jednoznacznych przepisów prawnych wystąpiły trudności w rozpoczęciu śledztwa. W Wielkiej Brytanii śledztwo rozpoczęto na podstawie przepisów dotyczących oszustwa. Ustalono, że wirus stworzył dr Joseph L. Popp, biolog zajmujący się ewolucją, doktor z Harvardu. Joseph Popp miał znaczną wiedzę na temat AIDS, prowadził badania nad tą chorobą i był konsultantem WHO. Na liście ofiar, od których Popp żądał okupu, znalazły się setki instytucji badawczych oraz naukowców zajmujących się problemem AIDS. Jedna z hipotez sugeruje, że wirus powstał w wyniku odmowy zatrudnienia Poppa w WHO, co mogło być formą zemsty. Do dzisiaj nie jest jasne, jakie były motywacje Joseph Popp przy tworzeniu konia trojańskiego.

Joseph Popp został aresztowany na lotnisku w Amsterdamie. Zwrócił uwagę, pisząc na walizce „DR POPP ZOSTAŁ OTRUTY”. Po przeszukaniu jego bagażu znaleziono etykiety z nazwą firmy PC Cyborg Corporation. Został przekazany do Wielkiej Brytanii, gdzie trwało już śledztwo przeciwko niemu. Po dwóch latach uznano go za niepoczytalnego na podstawie opinii psychiatrycznej.

Teza o niepoczytalności spotkała się z krytyką. Policja podczas śledztwa odkryła pamiętnik, który wskazywał, że dr Popp planował całą akcję przez półtora roku i przygotowywał produkcję kolejnych 2 milionów dyskietek.

Joseph Popp wrócił do Stanów Zjednoczonych, gdzie kontynuował badania naukowe. Zajmował się życiem afrykańskich małp oraz zorganizował wystawę motyli w Nowym Jorku.

Dostarczenie dyskietek

Joseph Popp wybrał swoje ofiary z listy uczestników konferencji poświęconej AIDS oraz z zakupionej listy użytkowników komputerów (w tym listy abonentów gazety PC Business World). W dniu 11 grudnia 1989 roku, liczne dyskietki zostały wysłane priorytetowo z Londynu. Przesyłki do Stanów Zjednoczonych nie dotarły do żadnego adresata, co mogło sugerować, że dr Popp był świadomy już istniejących przepisów dotyczących przestępstw komputerowych w USA. Dyskietki z koniem trojańskim były wysyłane w białych kopertach, opisanych jako AIDS Information Introductory Diskette Version 2.0.