Ketika worm ini berjalan, akan melakukan pemindaian kisaran alamat-alamat IP dan mencoba melakukan sambungan ke klien SSH yang menggunakan iPhone default password, yaitu:
~ 192.168.0.0 - 192.168.255.255
~ 202.81.64.0 - 202.81.79.255
~ 23.98.128.0-123.98.143.255
~ 120.16.0.0-120.23.255.255
~ 114.72.0.0-114.75.255.255
~ 203.2.75.0-203.2.75.255
~ 210.49.0.0-210.49.255.255
~ 203.17.140.0-203.17.140.255
~ 203.17.138.0-203.17.138.255
~ 211.28.0.0-211.31.255.255
~ 58.160.0.0-58.175.255.25
Sebagai catatan, kisaran jarak alamat IP juga dipindai secara acak.
Jika worm ini berhasil login, maka akan mencoba untuk menyalin dirinya ke host yang baru berupa file. Apabila ditemukan file yang sama maka akan menimpa file tersebut.
/bin/poc-bbot
/bin/sshpass
atau
/usr/sbin/cydia/startup
/usr/sbin/cydia/startup-helper
Kemudian menyalin gambar latar belakang salah satu dari file berikut:
/var/log/youcanbeclosertogod.jpg
/usr/sbin/cydia/startup.so
Kemudian worm mengcopy salah satu file berikut, sehingga worm akan bekerja ketika iPhone mulai:
/System/Library/LaunchDaemons/com.ikey.bbot.plist
/System/Library/LaunchDaemons/com.saurik.Cydia.Startup.plist
Worm ini mengubah gambar latar belakang pada iPhone seperti dibawah ini.
Note: The name comes from the message displayed on the wallpaper: “ikee is never going to give you up.“
Terakhir, worm ini menjalankan daemon SSH apapun pada iPhone dan menghilangkan file di /bin/sshd serta mencegah proses dari awal ketika iPhone di mati-nyalakan kembali.
Hal ini tidak akan terjadi apabila iPhone menjalankan jailbroken yang terinstal tidak memasukan kode yang tidak resmi. Dimana kode resmi untuk SSH (Secure Shell) adalah "alpine".
Namun apabila iPhone telah terinfeksi worm ini, yang dapat dilakukan adalah sebagai berikut:
Variants A, B and C
1. Hapus: /bin/poc-bbot2. Hapus: /bin/sshpass
3. Hapus: /var/log/youcanbeclosertogod.jpg
4. Hapus: /var/mobile/LockBackground.jpg
5. Hapus: /System/Library/LaunchDaemons/com.ikey.bbot.plist
6. Hapus: /var/lock/bbot.lock
7. Mati dan nyalaka kembali iPhone, install ulang SSH dan merubah password root ke standar
Variant D
1. Hapus: /usr/libexec/cydia/startup
2. Hapus: /usr/libexec/cydia/startup.so
3. Hapus: /usr/libexec/cydia/startup-helper
4. Hapus: /System/Library/LaunchDaemons/com.saurik.Cydia.Startup.plist
5. Hapus Cydia from the terminal as follows:
Su root
alpine
get-app remove cydia
get-app install cydia
6. Mati dan nyalak iPhone dan merupah password root ke standar
Sebagai catatan, apabila tidak atau kurang mengerti dan tidak mengetahui konsekuensi yang terjadi. Jailbroken iPhone merupakan bukan yang harus dilakukan. Tetapi jika menggunakan jailbroken iPhone, maka harus melakukan ini.
Sumber:
1. Symantec Security Respone
2. Blogs ZDNet ~ by Adrian Kingsley
