AIDS (Schadprogramm)

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
AIDS

AIDS DOS Trojan.png
Nach erfolgreicher Infektion angezeigte Meldung
Basisdaten

Erscheinungsjahr 1989
Betriebssystem MS-DOS
Programmiersprache QuickBasic
Kategorie Ransomware

AIDS (auch PC Cyborg) ist ein in QuickBasic programmiertes Trojanisches Pferd, das im Jahr 1989 über per Post verschickte Disketten verbreitet wurde. Der Einsatz dieser Malware ist einer der ersten bekannten Fälle von Erpressung durch Ransomware.

Programmierung und Verbreitung[Bearbeiten | Quelltext bearbeiten]

Das Trojanische Pferd AIDS wurde etwa 1989 von dem Biologen Joseph L. Popp Jr. entwickelt. Im Gegensatz zu heutigen Schadprogrammen wurde es über Datenträger verteilt. Hierfür verschickte Popp per Post etwa 20.000 5,25″-Disketten an Forscher außerhalb der USA, die zur AIDS-Erkrankung forschten. Als Absender gab er die fiktive „PC Cyborg Corporation“ an. Die Datenträger wurden mit der Aufschrift „AIDS Information – Introductory Diskettes“ als eine interaktive Datenbank über das Syndrom getarnt, denen ein Informationsblatt beilag, wonach eine Lizenz zur Nutzung der Software erworben werden müsse. Auf etwa 1000 Computern wurde die Installation dennoch durchgeführt.

Funktionsweise[Bearbeiten | Quelltext bearbeiten]

Die Disketten enthielten zwei in QuickBasic 3.0 entwickelte Programme, „INSTALL.EXE“ und „AIDS.EXE“. Hierbei diente „AIDS.EXE“ dazu, den Nutzer zum Ausführen von „INSTALL.EXE“ zu bewegen, welches die eigentliche Malware war. Nach dem Ausführen des Programms erstellte dieses zunächst einige versteckte Verzeichnisse auf dem Laufwerk C:. Im Anschluss wurde die Datei „AUTOEXEC.BAT“ mit einer modifizierten Version ausgetauscht, während die ursprüngliche Datei in „AUTO.BAT“ umbenannt wurde. Zunächst blieb das Trojanische Pferd hiernach scheinbar inaktiv, zählte jedoch im Hintergrund die Anzahl der Startvorgänge des Computers. Ab dem meist 90. Start des Rechners änderte das Schadprogramm sein Verhalten: Die Malware begann die Namen – nicht jedoch die Inhalte – von fast allen Dateien auf dem Laufwerk C: symmetrisch zu verschlüsseln und dessen Verzeichnisbäume vor dem Benutzer zu verstecken. Hiervon waren die Systemdateien jedoch nicht betroffen. Beim nächsten Neustart täuschte die Ransomware dem Benutzer den regulären Start in eine DOS-Umgebung vor. Im Anschluss wurde eine Meldung angezeigt, laut der man vor einer weiteren Benutzung des Computers die Lizenz erneuern müsse. Angeschlossene Drucker druckten zusätzlich ein Dokument aus, laut dem man für eine Jahreslizenz 189 US-Dollar als Verrechnungsscheck an ein Postfach in Panama schicken sollte, um Anweisungen zum Wiederherstellen der Daten zu erhalten.[1][2][3]

Auswirkungen[Bearbeiten | Quelltext bearbeiten]

Eine italienische AIDS-Organisation soll durch das Trojanische Pferd Forschungsergebnisse aus zehn Jahren verloren haben.

Das Programm „AIDSOUT“, welches in der Lage war, die durch die Ransomware verschlüsselten Dateien wiederherzustellen, wurde nach Angaben von dessen Entwickler aus über 90 Ländern angefragt.

Joseph Popp wurde im Januar 1990 vom FBI verhaftet, nachdem er zuvor Sicherheitsbeamten am Flughafen Amsterdam Schiphol aufgefallen war. Aufgrund seiner labilen psychischen Verfassung wurde er 1991 vorzeitig aus der Haft entlassen.[1][4]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. a b Hauke Gierow: Der Virus des wunderlichen Dr. Popp. In: Golem.de. 7. Juli 2016, abgerufen am 17. Juni 2017.
  2. Jim Bates: AIDS Information Version 2.0. In: Virus Bulletin. Januar 1990, ISSN 0956-9979, S. 2–6 (englisch, virusbulletin.com [PDF; abgerufen am 17. Juni 2017]).
  3. Alina Simone: The Strange History of Ransomware. In: medium.com. Intel, 26. Mai 2015, abgerufen am 17. Juni 2017 (englisch).
  4. Edward Wilding: Popp Goes The Weasel. In: Virus Bulletin. Januar 1992, ISSN 0956-9979, S. 2–3 (englisch, virusbulletin.com [PDF]).