概要

11月にオーストラリアやヨーロッパで発見されたiPhoneに感染するワームプログラムをとあるDecompiler*1を改造したものなどを使って解析し，2つのバイナリ， 2つのスクリプト, 2つの設定ファイルの動きをまとめたレポート．

感染方法

jailbreakされたiPhoneではsshdをインストールすることができるのですが，その際にrootのデフォルトパスワードが設定されているという脆弱性(?)を突いたもの．

やること

sshdで侵入されたあと，設定ファイル(plist)により次の2つのプログラムがiPhone起動時に立ち上がるように設定される．

• iPhoneをサービスとして提供している会社のレンジやLAN内のIPアドレスのsshポートをスキャンする
• リトアニアにあるサーバにアクセスして実行ファイルがあればそれを実行する

被害

INGというオランダの会社のページのフィッシングに使われたらしい．mijn.ing.nlのIPアドレスを210.233.73.206というIPと認識するように/etc/hostsを書き替えられる．ちなみにこのサイトは日本のフィッシング詐欺をしているeCommerce siteに繋がっていたらしい．