11 Nov 2009

Worm iPhoneOS.Ikee




wirawanlaksono.blogspot.com ~ Bagi yang mempunyai iPhone dari apple, telah ditemukan sebuah worm yang bernama iPhoneOS.Ikee. Virus ini ditemukan oleh Symantec pada tanggal 10 November 2009 dan merupakan jenis worm yang menyebar melalui jailbroken iPhone menggunakan password standar sekuriti SSH.
Ketika worm ini berjalan, akan melakukan pemindaian kisaran alamat-alamat IP dan mencoba melakukan sambungan ke klien SSH yang menggunakan iPhone default password, yaitu:

~ 192.168.0.0 - 192.168.255.255
~ 202.81.64.0 - 202.81.79.255
~ 23.98.128.0-123.98.143.255
~ 120.16.0.0-120.23.255.255
~ 114.72.0.0-114.75.255.255
~ 203.2.75.0-203.2.75.255
~ 210.49.0.0-210.49.255.255
~ 203.17.140.0-203.17.140.255
~ 203.17.138.0-203.17.138.255
~ 211.28.0.0-211.31.255.255
~ 58.160.0.0-58.175.255.25
Sebagai catatan, kisaran jarak alamat IP juga dipindai secara acak.

Jika worm ini berhasil login, maka akan mencoba untuk menyalin dirinya ke host yang baru berupa file. Apabila ditemukan file yang sama maka akan menimpa file tersebut.
/bin/poc-bbot
/bin/sshpass
atau
/usr/sbin/cydia/startup
/usr/sbin/cydia/startup-helper

Kemudian menyalin gambar latar belakang salah satu dari file berikut:
/var/log/youcanbeclosertogod.jpg
/usr/sbin/cydia/startup.so

Kemudian worm mengcopy salah satu file berikut, sehingga worm akan bekerja ketika iPhone mulai:
/System/Library/LaunchDaemons/com.ikey.bbot.plist
/System/Library/LaunchDaemons/com.saurik.Cydia.Startup.plist

Worm ini mengubah gambar latar belakang pada iPhone seperti dibawah ini.

Note: The name comes from the message displayed on the wallpaper: “ikee is never going to give you up.“








Terakhir, worm ini menjalankan daemon SSH apapun pada iPhone dan menghilangkan file di /bin/sshd serta mencegah proses dari awal ketika iPhone di mati-nyalakan kembali.

Hal ini tidak akan terjadi apabila iPhone menjalankan jailbroken yang terinstal tidak memasukan kode yang tidak resmi. Dimana kode resmi untuk SSH (Secure Shell) adalah "alpine".

Namun apabila iPhone telah terinfeksi worm ini, yang dapat dilakukan adalah sebagai berikut:

Variants A, B and C
1. Hapus: /bin/poc-bbot
2. Hapus: /bin/sshpass
3. Hapus: /var/log/youcanbeclosertogod.jpg
4. Hapus: /var/mobile/LockBackground.jpg
5. Hapus: /System/Library/LaunchDaemons/com.ikey.bbot.plist
6. Hapus: /var/lock/bbot.lock
7. Mati dan nyalaka kembali  iPhone, install ulang SSH dan merubah password root ke standar

Variant D
1. Hapus: /usr/libexec/cydia/startup
2. Hapus: /usr/libexec/cydia/startup.so
3. Hapus: /usr/libexec/cydia/startup-helper
4. Hapus: /System/Library/LaunchDaemons/com.saurik.Cydia.Startup.plist
5. Hapus Cydia from the terminal as follows:
    Su root
    alpine
    get-app remove cydia
    get-app install cydia
6. Mati dan nyalak iPhone dan merupah password root ke standar

Sebagai catatan, apabila tidak atau kurang mengerti dan tidak mengetahui konsekuensi yang terjadi. Jailbroken iPhone merupakan bukan yang harus dilakukan. Tetapi jika menggunakan jailbroken iPhone, maka harus melakukan ini.

Sumber:
1. Symantec Security Respone
2. Blogs ZDNet ~ by Adrian Kingsley

TTDITBloggerIndonesia
blog comments powered by Disqus
Related Posts with Thumbnails

Jejaring

SponsoredTweets referral badge

Statistik

free counters

Google Friends

Berlangganan vie email:

Masukan alamat email anda untuk berlangganan:

Delivered by FeedBurner


Redanyway follower

blog-indonesia.com Technology Top Blogs TopOfBlogs Technology Blogs - Blog Rankings Page Rank Checker Button

Search Engine Optimization and SEO Tools

Increase your back-link numbers and therefore your website's page rank by: 1.Back-links, page rank and keywords ANALYSIS and 2. Back-link rotation exchange rotation system & Google-Bot detection and behavior analysis

Top 10 Award Get subscribers