他人事ではなかったiPhoneウィルス

virus photo

恥ずかしながら、iPhoneウィルスにかかってしまいました。
失態した経験なので、記事にしようか悩んだのですが、ウィルス感染に気づかずに使っている方もいるかと思い、書いておきたいと思います。

iPhoneが感染したウィルス名は「iPhoneOS.Ikee」と言うもので、iPhone上からSSH接続を断続的に外部に対して行います。
詳しくはシマンテックに情報が書いてあります。
ちなみに、これはJailbreak(脱獄)したiPhoneが対象なので、通常(普通に使っている)iPhoneでは問題ありません。

感染した状況から対処までの記録を下記にメモ(長文になるので、続きにて)

感染した時のiPhone

  • iPhoneをJailbreakしてある
  • Cydiaにて下記のソフトがインストールされている
    privacy

    aptbackup
    appbackup
    appsync3.1
    BossPrefs
    iFile
    afc2add
    Grip
    SBSettings
    ActionMenu
    OpenSSH
    CyDelete
    backgrounder
    quickreply fo sms
    snappy
    overboard
    autosilent
  • 3G/WiFi On
  • Bluetooth Off
  • SSH On
    デフォルトパス

感染時の状況

このワームに感染すると、ある範囲の IP アドレスをスキャンし、デフォルトの iPhone パスワードを使用し、 定期的にSSH で接続しようとします。

iPhone上で使用している分には、感染の症状は見られない為、なかなか気づけません。
今回、発見できたのは、ルータを通るパケットによる情報に下記の記録が残っていたので、幸いにも発見できました。

09:56:45.316626 IP xxx.xxx.xxx.xxx.50129 > 126.247.130.125.ssh: tcp 0
09:56:46.319637 IP xxx.xxx.xxx.xxx.50129 > 126.247.130.125.ssh: tcp 0
09:56:47.322257 IP xxx.xxx.xxx.xxx.50129 > 126.247.130.125.ssh: tcp 0
09:56:47.778608 IP xxx.xxx.xxx.xxx.50130 > 126.247.130.126.ssh: tcp 0
09:56:48.725639 IP xxx.xxx.xxx.xxx.50130 > 126.247.130.126.ssh: tcp 0

約1秒ごとに、外部へSSHを接続していることが分かります。

また、接続先は、xxx.panda-world.ne.jpなので、ソフトバンクのようです。

感染記録

iPhone上では、感染しているか確認が出来ないので、CydiaでMobileTerminalにて、

# ps -ef |grep poc-bbot

にて、poc-bbotがヒットすれば、感染していると言うことです。

CydiaからSyslogをインストールし、感染しているシスログを取ってみました。

Dec 18 05:05:59 iPhone ReportCrash[6354]: Process:         poc-bbot [6350]
Dec 18 05:05:59 iPhone ReportCrash[6354]: Path:            /bin/poc-bbot
Dec 18 05:05:59 iPhone ReportCrash[6354]: Identifier:      poc-bbot

1秒おきに、感染プログラムが走ってます。

対処

今回のワームは危険度低なのですが、感染したウィルスは削除しなければなりません。

  • まず、3GとWiFiをオフが先決です
  • SSHサービス オフ
  • MobileTerminalで、poc-bbotをkill
  • CydiaにてOpenSSHを削除
    これで、SSHは削除されるのですが、感染したワームは、/bin/sshpassを使用してSSH接続を行うので、まだ安心できない

ウィルス削除

シマンテックの「iPhoneOS.Ikee – 駆除方法」を参照しながら、削除します。

1. 次のファイルを削除します。

  • /bin/poc-bbot
  • /bin/sshpass
  • /usr/libexec/cydia/startup
  • /usr/libexec/cydia/startup-helper
  • /var/log/youcanbeclosertogod.jpg
  • /usr/libexec/cydia/startup.so
  • /System/Library/LaunchDaemons/com.ikey.bbot.plist
  • /System/Library/LaunchDaemons/com.saurik.Cydia.Startup.plist

2. SSH デーモンを再インストールし、デフォルトのパスワードを変更します。

3. 必要に応じて Cydia を再インストールします。

4. 必要に応じて壁紙を変更します。

iPhone上では、MobileTerminalかiFileを使用して削除しますが、PCのi-FunBoxを利用する方が簡単かもしれません。

総評

iPhoneをJailbreakし、使いやすいようにカスタマイズ出来るのは便利ですが、リスクが伴うのを再認識しました。

今回の感染経路は不明ですが、どうせ、iPhoneはプライベートネットワーク下だし、上層にはFirewallもあるので、外部から入ってこれないと安心しておりましたが、甘かった。

下手をすると、SSHで特定のサーバにiPhone上の全てのデータを送信していたらと思うと、寒気がゾッとしましたよ。

Jailbreakをしている方は、ホント要注意ですね。

ってか、よい子は、Jailbreakしちゃだめです。(説得力ないけど)

スポンサーリンク
336×280(テキスト&ディスプレイ広告)
336×280(テキスト&ディスプレイ広告)
  • はじめまして、ipon3gと申します。
    今更ながら、ウイルスに感染してしまいました。
    記事を参考に無事?ウイルスは削除できたと思っています。
    ほんと助かりました。
    ありがとございます!!

  • washo

    記事が役に立ててよかったです。(^^;

    ウィルスにより、知らないところで通信してるので、怖いですよね。
    恐らく、気づいてない方が大勢いるのでは?と思っているのですが。

    ウィルス削除したあとは、何か気分的に嫌だったので、
    工場出荷状態に復元しましたので、不安でしたら、クリーンにした方が良いかも。

banner