解析者: Karl Dominguez   
 更新者 : Karl Dominguez

 プラットフォーム:

iOS

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。 ワームは、ユーザの手動インストールにより、コンピュータに侵入します。

  詳細

ファイルサイズ 不定
タイプ Other
メモリ常駐 なし
発見日 2009年11月21日

侵入方法

ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ワームは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

  • File name: /private/var/mobile/home/cydia.tgz
    Description: This is the main malware archive which contains the files INST, DUH, SYSLOG, curl_7.19.4-6_iphoneos-arm.deb,com.apple.period.plist, and com.apple.ksyslog.plist
  • File name: /private/var/mobile/home/.tmp
    Description: This is the file where /private/var/mobile/home/syslog stores received raw data from its command and control (C&C) server
  • File name: /private/var/mobile/home/sshd
    Description: Trend Micro detects this malicious executable as IOS_IKEE.A. It scans for IP addresses into which it will propagate to. It propagates by logging into the target iPhone via SSH using the default password, "alpine". It creates the folder, /private/var/mobile/home/, where it copies the malware package, CYDIA.TGZ. It then executes /private/var/mobile/home/inst to install the malware package.
  • File name: /private/var/mobile/home/duh
    Description: This is the malicious binary file used by this malware to issue HTTP GET commands. This is executed by /private/var/mobile/home/syslog to receive data from its C&C server.
  • File name: /private/var/mobile/home/inst
    Description: Trend Micro detects this malicious script as IOS_IKEE.A. It generates an ID for the infected iPhone which can be used as an identifier when this script connects to its C&C server. The generated ID is saved in /etc/rel. It then copies com.apple.ksyslog.plist to /System/Library/LaunchDaemons/com.apple.ksyslog.plist so that this script executes every time the infected device is turned on. In addition, it installs legitimate Debian packages necessary for its routines. It also changes the default SSH password, alpine that is saved in /etc/master.passwd to ohshit. This file is responsible for gathering all SMS messages and information about the infected device. SMS messages are saved in /private/var/mobile/home/{ID}/sms.txt while phone information are saved into /private/var/mobile/home/{ID}/info. It then archives the folder, /private/var/mobile/home/{ID}, and connects to its C&C server, {BLOCKED}.{BLOCKED}.38.16/xml/a.php?name={ID} to send the .TGZ file in base64 format.
  • File name: /private/var/mobile/home/heh
    Description: This file is where /private/var/mobile/home/syslog saves shell scripts to be executed.
  • File name: /private/var/mobile/home/syslog
    Description: Trend Micro detects this malicious script as IOS_IKEE.A. This file runs /private/var/mobile/home/duh and saves the C&C server replies to /private/var/mobile/home/.tmp. It parses the .TMP file for scripts then saves the result in /private/var/mobile/home/heh and executes this file as a shell script.
  • File name: /System/Library/LaunchDaemons/com.apple.ksyslog.plist
    Description: This daemon (a software that runs in the background) executes /private/var/mobile/home/sshd every time the infected iPhone device is started and keeps it running.
  • File name: /System/Library/LaunchDaemons/com.apple.period.plist
    Description: This daemon executes /private/var/mobile/home/syslog every 300 seconds.
  • File name: /System/Library/LaunchDaemons/com.apple.periodic.plist
    Description: This daemon file executes /private/var/mobile/home/syslog every 2000 seconds.
  • File name: /private/var/mobile/home/adv-cmds_119-5_iphoneos-arm.deb
    Description: This legitimate Debian package needed by this worm to execute its commands.
  • File name: /private/var/mobile/home/sqlite3_3.5.9-9_iphoneos-arm.deb
    Description: This is a legitimate Debian package file for an SQL database.
  • File name: /private/var/mobile/home/curl_7.19.4-6_iphoneos-arm.deb
    Description: This is a legitimate Debian package for Curl that is used to download and install adv-cmds_119-5_iphoneos-arm.deb and sqlite3_3.5.9-9_iphoneos-arm.deb from saurik.com.
  • File name: /private/var/mobile/home/{ID}/sms.txt
    Description: This file contains the stolen text messages.
  • File name: /private/var/mobile/home/{ID}/info
    Description: This file is where stolen data, such as the infected iPhone's name, version, and network interface information, is saved.
  • File name: /private/var/mobile/home/{ID}.tgz
    Description: This is an archive file containing files inside /private/var/mobile/home/{ID}/ that is sent to the C&C by /private/var/mobile/home/inst in base64 format.
  • File name: /etc/rel
    Description: This file contains the generated ID

ワームは、以下のフォルダを作成します。

  • /private/var/mobile/home
  • /private/var/mobile/home/{ID}

  対応方法

対応検索エンジン: 8.900

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「IOS_IKEE.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください