INTECO

Detalles técnicos

• Nombre completo del virus: Worm.iPhoneOS/Eeki@SSH+Otros
• Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
• Plataformas afectadas: iPhoneOS Sistema operativo de los dispositivos iPhone o iPod Touch
• Mecanismo principal de difusión: SSH Se propaga intentando acceder a otro dispositivo mediante el protocolo SSH + Otros Otro mecanismo de propagación.
• Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
• Alias:
  • Eeki.A (Panda Security)
  • iPhoneOS.Ikee (Symantec)
  • Worm:iPhoneOS/Ikee (F-Secure)

Propagación

Capacidad de autopropagación: Sí

Se propaga de las siguientes maneras:

Infección/Efectos

Cuando Eeki se ejecuta, realiza las siguientes acciones:

/efectos

Este gusano, se copia a sí mismo con los siguientes nombres en el directorio /System/ Library/ LaunchDaemons, con el objetivo de ejecutarse en el reinicio:

• com.saurik.Cydia.Startup.plist
• com.ikey.bbot.plist

Además de estos dos archivos, los siguientes archivos están involucrados en la infección:

• bbot.lock, en el directorio /var/lock. Comprueba si este archivo está en uso.
• startup.so y startup, en el directorio /usr/libexec/cydia. El primer archivo corresponde a la imagen que establece como fondo de pantalla de desbloqueo del terminal. El segundo se trata de un ejecutable.
• LockBackground.jpg, en el directorio /var/mobile/Library. Este archivo es el que permite configurar el fondo de pantalla de desbloqueo del terminal.

Realiza las siguientes acciones:

1. En primer lugar, comprueba que no se esté ejecutando ya en el terminal. Para ello comprueba si existe el archivo /var/lock/bbot.lock.
2. Para infectar a los dispositivos, tiene predefinido un rango de intervalos de direcciones IPs, dentro de los cuales, genera una aleatoriamente, que constituirá la dirección IP atacada.
3. Primero intenta propagarse en la subred a la que esté conectado el dispositivo. Después, lo intenta generando un rango aleatorio, y por último prueba con unos rangos preestablecidos que corresponden a direcciones IPs de determinadas compañías telefónicas.
4. Una vez generada la dirección IP, intenta acceder de manera remota al terminal iPhone o iPod Touch jailbreakeado, estableciendo una conexión SSH, y usando la clave por defecto de root (es decir, Administrador del sistema) común a todos los dispositivos iPhoneOS (iPhone e iPod Touch, las tres versiones de ambos).
5. Si el acceso es denegado, vuelve a intentar generar una IP aleatoria de nuevo y repite el proceso hasta que consigue una dirección IP válida de un dispositivo vulnerable. Una vez encontrado, obtiene una sesión remota con las credenciales anteriores, y se copia a si mismo en el dispositivo afectado.
6. Finalmente, detiene el demonio del SSH, que es un protocolo que permite acceder a máquinas remotas a través de una red, y copia una fotografía de Rick Astley, para usarla como imagen de fondo de pantalla del dispositivo:
   

Contramedidas