文章总结： 本文回顾了1989年首个加密后门TrojanAIDS事件，详解其通过物理软盘分发及延迟触发加密目录的攻击手法。作者哈佛博士波普利用社会工程学实施勒索，该事件终结了纯物理安全观念，催生了备份习惯与反勒索技术，揭示了利用信息差进行攻击的早期形态。 综合评分： 81 文章分类： 恶意软件,安全意识,威胁情报

【第五空间简史】第12节 首个加密后门Trojan AIDS

原创

千里

东方隐侠安全团队

2025年12月22日 23:31 江苏

提到“勒索软件”，脑子里蹦出来的可能是2017年那个让全球瘫痪的 WannaCry ，或者是现在那些动辄勒索几千万美金、用比特币结算的 REvil 、 Conti 。勒索软件现在已经呈现家族化、体系化，这不得不让我们想起了诞生在35年前的“勒索软件”鼻祖。

那时候，没有光缆，没有匿名钱包，甚至连互联网都还没成气候。那时候的黑客想搞钱，竟然是靠邮局。

今天，咱们就聊聊这个网络安全史上第一个真正意义上的加密后门—— Trojan AIDS （也叫PC Cyborg木马）。

致命快递：从邮筒里爬出的魔鬼

01

想象一下，1989年12月的一个周一早晨。你是一位在伦敦诊所工作的流行病学研究员，或者是一位在斯德哥尔摩关注艾滋病防治的医生。

那个年代，大家获取最前沿科学资讯的方式很原始：订阅学术期刊，或者参加学术会议。

邮递员敲开门，递给你一个信封。寄件地址写着伦敦。拆开信封，里面没有论文，而是一张5.25英寸的软盘。封套上印着醒目的标题： “AIDS Information-Introductory Diskette” （艾滋病信息——入门磁盘）。

随附的说明书告诉你，这张磁盘里包含了一个能评估艾滋病感染风险的软件。在那个艾滋病刚被发现不久、社会极度恐慌的年代，这玩意儿简直是“救命稻草”。

你会怀疑吗？大概率不会。那时候的人们，对物理媒介有着一种天然的信任。毕竟，这可是从邮局寄过来的，带着邮戳。

你把软盘塞进那台笨重的IBM PC。屏幕上跳出了安装界面。在安装过程中，有一份冗长的“许可协议”。现在的我们都知道，那玩意儿就是用来“跳过”的。但如果你当时耐下性子看，会发现其中藏着这样一段不讲武德的话：

“如果由于你使用了本程序导致损失，本公司概不负责……一旦你运行本程序，你必须向PC Cyborg公司支付租赁费用。如果你不付钱，后果自负。”

当然，绝大多数人直接敲了回车。程序安装完毕，看起来一切正常。你甚至还真的测算了一下艾滋病风险。

随后，你关机下班。

而魔鬼时刻已经开始了。

次重启后的wtf

02

Trojan AIDS最鸡贼的地方在于它的“延迟触发”机制。它不像现在的木马，一进去就恨不得把CPU烧了。它表现得像个潜伏的刺客。

它在系统的 AUTOEXEC.BAT （DOS时代的自动执行批处理文件）里埋了一个计数器。每次你开机，它就悄悄加1。

它在等，等一个它中意的“审判日”。

当计数器跳到 90 的那一刻，通常是受害者收到软盘三四个月之后，这只木马终于露出了獠牙。

那天的医生或研究员像往常一样按下电源键。自检通过，DOS加载。突然，屏幕不再是熟悉的 C:> 提示符，而是跳出一个蓝底白字的巨型警告框：

“你的软件授权已过期！所有重要文件的加密工作已经完成。请关闭电脑，准备好189美元（或378美元）的支票，寄往巴拿马的PO Box 7-5575……”

此时，如果你试图查看硬盘里的文件，你会发现所有的文件名都变成了乱码，扩展名被改得亲妈都不认识。整个系统除了这个勒索界面，其他功能全部瘫痪。

这就是人类史上第一张“绑票”。

技术拆解：这到底是什么“黑魔法”？

03

Trojan AIDS的代码水平，放在今天可能也就是个课后作业，但在1989年，它确实做到了“降维打击”。

加密手法：虚晃一枪

现代勒索软件（如WannaCry）用的是非对称加密（RSA-2048+AES-256），没有私钥，哪怕用量子计算机也得算到宇宙毁灭。

但1989年的AIDS木马没那么硬核。它采用的是一种 对称加密算法 。更准确地说，它其实主要是对文件目录结构（FAT表）和文件名进行了简单的置换加密。

木马并没有逐个去读取并加密文件内部的数据（毕竟当时的处理器频率也就几MHz，全盘加密能跑一天一夜）。它只是把你的“书架索引”给搅混了，让你找不到书。

支付路径：巴拿马的邮筒

最逗的是支付方式。现在是比特币（BTC）或者门罗币（XMR），追求的是无法追踪。

而1989年，这个木马的作者要求受害者把钱寄到： PC Cyborg Corporation, P.O. Box 7-5575, Panama City, Panama.

是的，你没看错。不仅要寄支票，还要寄到巴拿马的一个真实邮政信箱。在当时，巴拿马是避税天堂，也是洗钱中心。作者显然觉得，跨国法律协作在那个年代还处于“石器时代”，只要把钱弄到巴拿马，他就安全了。

这里的“不讲武德”

这玩意儿最坏的地方在于，它利用了当时人们对“正版授权”的敬畏心。很多人以为这真的是某种正版软件的强硬保护措施，为了拿回珍贵的科研数据，还真有不少人乖乖寄了支票。

这哪是技术博弈啊，这分明就是一场利用信息差进行的“仙人跳”。

那个“疯子”：约瑟夫·波普博士

04

讲历史不能不讲人。制造这一切的，不是什么天才少年，也不是什么跨国犯罪集团，而是一个叫约瑟夫·波普（Joseph Popp）的哈佛大学人类学博士。

这位波普博士当时在世界卫生组织（WHO）当顾问，专门研究艾滋病防治。他不仅懂病毒（生物意义上的），显然也懂病毒（哈哈，我都不知道我怎么想出这句话的）。

1990年初，苏格兰场（伦敦警察厅）通过追踪那20000张软盘的邮寄路径和巴拿马的信箱，锁定了波普。

当警察在阿姆斯特丹机场截获他时，这位博士的行为已经完全失控。据说他当时在机场把自己的一件衣服套在头上，还随身带着一个写着“由于我的行为，世界卫生组织已经完蛋了”的牌子。

他在法庭上的表现更是让所有人大跌眼镜。他声称自己这么做是为了把勒索来的钱捐给艾滋病研究（听听，这理由是不是和现在的某些APT组织如出一辙？）。

更戏剧化的是，他最后因为“精神错乱”被免于起诉。为了证明自己疯了，他在法庭上把卷发器戴在胡子上，还戴着个垃圾桶盖。这哥们儿到底是真疯还是装疯，成了网络安全史上的一个悬案。

信任的终结与备份的诞生

05

在1989年之前，人们认为“安全”意味着锁好机房大门。Trojan AIDS告诉全世界：即使你的物理大门锁得死死的，魔鬼也能顺着邮筒爬进来。

这打破了人类对数字世界最初的“伊甸园式”幻想。从此，网络安全从“防物理入侵”转向了“防逻辑入侵”。

这次事件催生了最早的一批专业数据恢复工具。一位名叫吉姆·贝茨（Jim Bates）的英国安全专家，在木马爆发后不久就写出了名为 AIDSOUT 的解锁程序。

由于木马使用的是简单的置换加密，贝茨通过逆向分析，很快就找到了解密算法的逻辑。

（当然，实际算法比异或略复杂点，但思路一致。）

但他同时也给出了一个至理名言： “不要等到你的屏幕变蓝，才想起你从没拷贝过那张软盘 。”

备份这个概念，从大企业的机房操作守则，变成了普通电脑用户的必需技能。

波普博士虽然失败了，但你会发现，三十多年后的Ransomware-as-a-Service(RaaS)模式，核心逻辑居然一点都没变。只是波普博士当年寄了20000张磁盘，成本不菲；而现在的黑客发200万封钓鱼邮件，成本几乎为零。

结语：那一池被搅浑的水

06

Trojan AIDS的出现，就像是在一个平静的池塘里投掷了一颗石子。从那以后，杀毒软件开始出现在每一个人的装机清单里，防火墙的篱笆越筑越高。

有趣的是，现在的我们，虽然有着最先进的端点防御、流量分析、沙箱隔离，但当我们收到一封带有诡异附件的邮件时，内心的那份犹疑，其实和1989年那个盯着软盘发呆的医生并没有什么本质区别。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：东方隐侠安全团队 千里《【第五空间简史】第12节 首个加密后门Trojan AIDS》