ウイルス情報

ウイルス名 危険度

OSX/RRoll.B

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 インターネットワーム
最小定義ファイル
(最初に検出を確認したバージョン)
5813
対応定義ファイル
(現在必要とされるバージョン)
5813 (現在7633)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 iPhoneOS/Ikee (F-Secure)
情報掲載日 2009/11/26
発見日(米国日付) 2009/11/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・OSX/RRoll.Bはルートアカウントのパスワードがデフォルトに設定された脱獄済みiPhoneに感染するワームです。通話中、およびデバイスがロックされているときに表示される背景画像(壁紙)を変更します。

TOPへ戻る

ウイルスの特徴

・OSX/RRoll.Bは「ikee」というハンドル名を使っているオーストラリアのマルウェア作者によって開発されたワームです。このマルウェア作者はOSX/RRoll.Bのソースコードをリリースしています。

・OSX/RRoll.Bはオーストラリアに拠点を置く携帯電話会社3社に属するIPアドレスをスキャンします。iPhoneのデフォルトのルートパスワードを使ってSSHサービスにログオンすることにより、脆弱なiPhoneを特定しようとします。

・ログインに成功すると、ターゲットのデバイスに自身をコピーします。OSX/RRoll.Bはインストール時に動作するように設定されています。OSX/RRoll.Bは動作するため、Cydia Installerプログラムのスタートアップファイルを上書きします。

・OSX/RRoll.Bが初めて動作すると、デバイスのロック時に使われる背景画像(壁紙)を作者のメッセージを含む画像に置き換えます。

図1 - 置き換えられたロック画面(シミュレーション)

図2 - 置き換えられた通話中の背景画像(シミュレーション)

・背景画像の変更後、OSX/RRoll.BはSSHデーモン(サービス)のバイナリを削除し、プロセスを終了します。これには、感染を可能にする穴を閉じることと、ワームや他の攻撃者による再感染を防ぐことの2つの目的があります。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • SSHデーモン(サービス)を終了して削除します。
  • 背景画像(壁紙)を別の画像に置き換えます。

TOPへ戻る

感染方法

・OSX/RRoll.Bが感染するには、ユーザがデフォルトのルートパスワードが設定されたままの脱獄済みiPhoneを持っている必要があります。デフォルトのルートパスワードを変更することにより、OSX/RRoll.Bの感染を防ぐことができます。

・いつも言われていることですが、ユーザは絶対に見覚えのないソフトウェア、信頼できないソフトウェアをインストールしてはなりません。クラックされたアプリケーションなど、違法なソフトウェアはマルウェアの感染源であるため、絶対にインストールしないでください。

TOPへ戻る

駆除方法

TOPへ戻る