AIDS , también conocido como Aids Info Drive o PC Cyborg Trojan , es un troyano de DOS cuyo payload manipula y cifra los nombres de todos los directorios de la unidad C:. Fue desarrollado por el Dr. Joseph Popp (1950-2006), un biólogo evolutivo con un doctorado de Harvard. El virus fue aislado en 1989.
AIDS reemplaza el archivo AUTOEXEC.BAT , que luego sería utilizado por AIDS para contar el número de veces que la computadora ha arrancado. Una vez que este conteo de arranques llega a 90, AIDS oculta los directorios y encripta los nombres de todos los archivos en la unidad C: (haciendo que el sistema sea inutilizable), momento en el cual se le pide al usuario que "renueve la licencia" y contacte a PC Cyborg Corporation para el pago (lo que implicaría enviar US$ 189 a un apartado de correos en Panamá ). Existe más de una versión de AIDS, y al menos una versión no espera a manipular la unidad C:, sino que oculta los directorios y encripta los nombres de los archivos en el primer arranque después de que AIDS se instala. El software de AIDS también presenta al usuario un acuerdo de licencia de usuario final , parte del cual dice:
Se considera que el SIDA es un ejemplo temprano de una clase de malware conocida como " ransomware ".
El SIDA se introdujo en los sistemas mediante un disquete llamado "Disquete de introducción a la información sobre el SIDA", que se había enviado por correo a una lista de correo. El Dr. Joseph Popp, biólogo evolutivo formado en Harvard, fue identificado como el autor del caballo de Troya del SIDA y estaba suscrito a esta lista. [1]
Popp fue finalmente descubierto por la industria antivirus británica y nombrado en una orden de arresto de New Scotland Yard . Fue detenido en la prisión de Brixton . Aunque acusado de once cargos de chantaje y claramente vinculado al troyano del SIDA, Popp se defendió diciendo que el dinero que iba a la PC Cyborg Corporation se destinaría a la investigación del SIDA . [2] Popp, un antropólogo formado en Harvard, estaba asociado con Flying Doctors, una rama de la Fundación Africana de Investigación Médica ( AMREF ), y era consultor de la OMS en Kenia, donde había organizado una conferencia en el nuevo Programa Mundial del SIDA. [3]
Popp se comportó de manera errática desde el día de su arresto durante una inspección rutinaria de equipaje en el aeropuerto Schiphol de Ámsterdam. Finalmente, fue declarado mentalmente no apto para ser juzgado y fue devuelto a los Estados Unidos . [4]
Jim Bates analizó el troyano AIDS en detalle y publicó sus hallazgos en el Virus Bulletin . [5] [6] Escribió que el troyano AIDS no alteró el contenido de ninguno de los archivos del usuario, solo sus nombres de archivo. Explicó que una vez que se conocen las tablas de cifrado de extensión y nombre de archivo, es posible la restauración. AIDSOUT fue un programa de eliminación confiable para el troyano y el programa CLEARAID recuperó el texto sin formato cifrado después de que el troyano se activó. CLEARAID revirtió automáticamente el cifrado sin tener que contactar al extorsionador.
El troyano AIDS fue analizado aún más a fondo unos años después. Young y Yung señalaron la debilidad fatal de malware como el troyano AIDS, a saber, la dependencia de la criptografía simétrica. Demostraron cómo utilizar la criptografía de clave pública para implementar un ataque seguro de extorsión de información. Publicaron este descubrimiento (y lo ampliaron) en un artículo de IEEE Security and Privacy de 1996. [7] Un híbrido de criptovirus, criptotroyano o criptogusano encripta los archivos de la víctima utilizando la clave pública del autor y la víctima debe pagar (con dinero, información, etc.) para obtener la clave de sesión necesaria. Este es uno de los muchos ataques, tanto abiertos como encubiertos, en el campo conocido como criptovirología . [8]