AIDS
Name AIDS
Aliase Hahaha, Taunt
Bekannt seit 1990
Erster Fundort USA
Virustyp Dateivirus
Dateigröße 13.952 Bytes
Wirtsdateien EXE, COM
Verschlüsselung nein
Stealth nein
Speicherresident nein
System IBM-PC mit MS-DOS
Programmiersprache x86-Assembler
Info Zerstört bei der Infektion
die Wirtsdatei

AIDS ist ein Dateivirus. Es wurde erstmals im Jahr 1990 in den USA in freiem Umlauf entdeckt.

Das Virus infiziert ausführbare MS-DOS-Programme und überschreibt bei der Infektion Teile der Wirtsdatei. Für eine Daten- und Systemwiederherstellung ist man auf Backups angewiesen.

Aufgrund seiner Destruktivität und seines häufig ausgelösten Payloads verliefen die Infektionen sehr auffällig. So konnte sich AIDS nicht wirklich effektiv auf andere Rechner verbreiten und war in Europa eher selten. Das Programm war allerdings gut für bösartige Streiche, bzw. gezielte Sabotage, geeignet.

Das Virus nutzte eine Sicherheitslücke unter MS-DOS aus.

Das Schadprogramm wurde nach der Immunschwächekrankheit AIDS benannt. In Europa war es auch als Hahaha-Virus bekannt. Der Konzern IBM bezeichnete es als Taunt. Die beiden Namen beziehen sich auf den spöttischen Text, den der Payload als Bildschirmmeldung anzeigt. Weitere Aliasse sind VGA2CGA oder Burger.Pascal.

Zu Verwechslungen kommt desöfteren mit dem ebenfalls AIDS genannten Trojaner, das von Dr. Joseph L. Popp Jr. Ende 1989 auf dem Postweg verteilte, und damit den ersten bekannten Fall von Ransomware-Erpressung vollzog. Diese Malware ist auch als PC Cyborg Trojan bekannt und hat keinen Zusammenhang mit den Computervirus AIDS. Viele Berichte im Internet bringen technische Angaben und Screenshots des AIDS-Trojaners und des AIDS-Computervirus durcheinander.

Versionen und Derivate

Bearbeiten
  • AIDS B: Diese Variante ist dem ursprünglichen AIDS-Virus sehr ähnlich und ebenfalls 13.952 Bytes lang. Im Gegensatz zum Originalvirus infiziert er nur COM-Dateien, inkusive der Datei COMMAND.COM, löst dabei aber die Bildschirmmeldung des Payload nicht aus. Stattdessen wird bei dieser Variante gelegentlich die Fehlermeldung
I/O error 99, PC=2EFD Program aborted
ausgegeben. Diese Variante wurde im Januar 1991 erhalten, Herkunft unbekannt.
  • AIDS-1992: Die Variante wurde im Mai 1992 in den Vereinigten Staaten entdeckt. Sie wurde außerdem entsprechend verändert, um die Entdeckung durch Antivirenprogramme zu erschweren. AIDS B infiziert keine Dateien, wenn sich auf dem aktuellen Laufwerk weniger als zwei Unterverzeichnisse befinden. Das System hängt sich auf, wenn infizierte Programme ausgeführt werden.

Funktion

Bearbeiten

AIDS ist ein überschreibender, dateiinfizierendes Virus. Es infiziert COM- und EXE-Dateien. Jedes Mal, wenn eine infizierte Datei ausgeführt wird, kann das AIDS-Virus eine neue Wirtsdatei infizieren. Gleichzeitig wird auch jedesmal der Payload des Virus getriggert.

Die Schäden werden auf befallenen Systemen aber überwiegend nicht durch den Payload verursacht, sondern durch die Infektionsroutine. Bei der Infektion werden Dateien beschädigt, der Payload an sich zwingt den User nur zu einem Neustart, was in der Praxis aber ebenfalls zu Datenverlusten führen kann.

Ein solches Verhalten ist bei Computerviren unüblich. Die meisten Virusautoren verfolgen eher das Konzept einer möglichst weiten und unauffälligen Verbreitung.

Infektionsroutine

Bearbeiten

AIDS ist ein sogenannter Overwriter und überschreibt bei der Infektion die ersten 13.952 Bytes seiner Wirtsdatei. Zur Infektion sind sowohl COM- als auch EXE-Dateien geeignet. Da zwangsläufig wichtige Bestandteile dieser ausführbaren Programme überschrieben werden, ist eine saubere Bereinigung der infizierten Dateien durch ein Anitvirenprogramm nicht möglich. Befallene Dateien müssen gelöscht werden, da es nicht möglich ist, den überschriebenen Teil der Programme wiederherzustellen.

Das Virus ist nicht speicherresident und ein sogenannter direct-action-infector. Das Ausführen eines infizierten Programmes aktiviert einmalig die Infektionsroutine.

Wenn das Virus aktiviert wird, zeigt es als Payload eine Bildschirmmeldung an, in der der User darüber informiert wird, dass sein Computer nun AIDS habe. Das wort AIDS nimmt etwa die Hälfte eines damals zeitgemäßen Bildschirms ein.

Das System wird angehalten und muss neu gestartet werden. (Warmstart möglich?)

Identifikation und Entfernung

Bearbeiten

Für zeitgemäße IT-Anlagen ist das Virus keine Gefahr. Anfällige Systeme dürften mittlerweile nur noch in der Retrocomputing-Szene betrieben werden. Das Virus kann von praktisch jedem Antivirenprogramm erkannt und entfernt werden.

Siehe auch

Bearbeiten

Einzelnachweise

Bearbeiten


Bearbeiten



 
Screenshot des Payload der Variante AIDS II

AIDS II wurde im April 1990 entdeckt und ist keine Variante sondern eine eigenständige Entwicklung mit völlig anderem Infektionsverhalten. Es handelt sich um einen Compagnionvirus, der COM-Dateien anlegt und infiziert, da dieser Dateityp unter MS-DOS immer vor einer gleichnamigen EXE-Datei ausgeführt wird. Auch AIDS II kann eine Bildschirmmeldung anzeigen.