Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Eeki.A
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Eeki.A es un gusano que únicamente afecta a dispositivos iPhone o iPod Touch (cualquiera de las tres versiones) que estén jailbreakeados, es decir, que se puede ejecutar código no oficial de Apple.

Eeki.A realiza las siguientes acciones:

En primer lugar, comprueba que no se esté ejecutando ya en el terminal. Para ello comprueba si existe el archivo /var/lock/bbot.lock.
Para infectar a los dispositivos, tiene predefinido un rango de intervalos de direcciones IPs, dentro de los cuales, genera una aleatoriamente, que constituirá la dirección IP atacada.
Primero intenta propagarse en la subred a la que esté conectado el dispositivo. Después, lo intenta generando un rango aleatorio, y por último prueba con unos rangos preestablecidos que corresponden a direcciones IPs de determinadas compañías telefónicas.
Una vez generada la dirección IP, intenta acceder de manera remota al terminal iPhone o iPod Touch jailbreakeado, estableciendo una conexión SSH, y usando la clave por defecto de root (es decir, Administrador del sistema) común a todos los dispositivos iPhoneOS (iPhone e iPod Touch, las tres versiones de ambos).
Si el acceso es denegado, vuelve a intentar generar una IP aleatoria de nuevo y repite el proceso hasta que consigue una dirección IP válida de un dispositivo vulnerable. Una vez encontrado, obtiene una sesión remota con las credenciales anteriores, y se copia a si mismo en el dispositivo afectado.
Finalmente, detiene el demonio del SSH, que es un protocolo que permite acceder a máquinas remotas a través de una red, y copia una fotografía de Rick Astley, para usarla como imagen de fondo de pantalla del dispositivo:

Hemos preparado un video en el que se explica el funcionamiento de Eeki.A. Pulse aquí para acceder al mismo.

Metodo de Infección

Eeki.A se copia a sí mismo con los siguientes nombres en el directorio /System/ Library/ LaunchDaemons, con el objetivo de ejecutarse en el reinicio:

com.saurik.Cydia.Startup.plist
com.ikey.bbot.plist

Además de estos dos archivos, los siguientes archivos están involucrados en la infección:

bbot.lock, en el directorio /var/lock. Comprueba si este archivo está en uso.
startup.so y startup, en el directorio /usr/libexec/cydia. El primer archivo corresponde a la imagen que establece como fondo de pantalla de desbloqueo del terminal. El segundo se trata de un ejecutable.
LockBackground.jpg, en el directorio /var/mobile/Library. Este archivo es el que permite configurar el fondo de pantalla de desbloqueo del terminal.

Método de Propagación

Eeki.A intenta propagarse en la subred a la que esté conectado el dispositivo. Después, lo intenta generando un rango aleatorio, y por último prueba con unos rangos preestablecidos que corresponden a direcciones IPs de determinadas compañías telefónicas hasta encontrar un dispositivo vulnerable.

Otros Detalles

Investigación realizada por Gorka Ramírez y Francisco Berenguer.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info


Contacto	Facebook	Twitter	Youtube	RSS