Virus iPhone ! Peut-on le retirer ? (Expliqué dans le topic)

[zazeur]

Salut a tous,

J'ai choppé un virus sur mon iPhone. (Et oui c'est possible ^^)
Après recherche j'ai vu que c'était une injection SSH,
mais qui heuresement ne touche que le fond d'écran.

En effet a la base, le virus installe un fond d'écran (Normalement Rick-Roll, mais moi c'était une image d'une coupe de rugby),
qui est impossible a retirer ni changer.
On a pu me l'inserer car mon iPhone est 24/24 connecté en ligne.
J'ai donc directement changé le mot de passe SSH juste après.
Donc rien de bien grave.

Petite information supplémentaire, il semblerait que ce soit en Australie que ça ce propage le plus.
http://www.datanews.be/fr/news/90-53-27017/le-tout-premier-ver-ciblant-l-iphone-affiche-la-photo-de-rick-astley-.html
Et je suis en Australie :p

La méthode la plus simple consisterait a restaurer l'iPhone,
mais peut-être peut-on faire par SSH pour ne pas tout re-synchroniser et re-ranger.

Donc si quelqu'un a eu le problème,
Ou si vous pouviez m'aider en cherchant sur internet ce serait sympa.

Merci d'avance.
A bientôt.

PS: Peut-être faire une news pour prevenir les gens qu'il faut changer son mdp ssh,
Avec MobileTerminal (le prendre depuis cydia) et taper "passwd" (sans guillemet).
Pour changer le mdp il faut l'ancien qui est "alpine" (sans guillemets) par défaut.

[Co3™]

Et bien, j'avais lu la news, mais j'etais loin de penser qu'un de nos membres soit infectes..
J'espere que ce n'est pas contagieux comme H1N1..

On va faire effectivement une petite news pour rafraichir les esprits..
Pour enlever c'est ca je crois:

rm /System/Library/LaunchDaemons/com.apple.syslog.plist
chown mobile /private/var/mobile/Library/LockBackground.jpg
chmod 666 /private/var/mobile/Library/LockBackground.jpg
mv /private/var/mobile/Documents/LockBackground.backup.jpg /private/var/mobile/Library/LockBackground.jpg

[zazeur]

Ok.

Bah il a fallu que je sois l'un des seuls membres qui est en Australie,
Et qui du plus soit l'un des touchés :p

J'espère que quelqu'un trouvera une solution ...

A+

[Co3™]

Solution ajoutee a mon precedent post pour enlever le background:

Pour changer le mot de passe:

Taper "passwd" tout simplement

[zazeur]

Ok,

Sinon deuxième cas remarqué sur l'iPhone de ma soeur (jailbreak aussi).
Je vais essayer de changer le screen donc, mais est-ce bien le seul problème ?
(PS: Elle, elle a bien eu RickRool. lol)

Sinon pour changer le mot de passe je l'avais indiquer en bas de mon premier post.

Je reviens quand la manipulation a marché ou non.

A+

[zazeur]

"rm /System/Library/LaunchDaemons/com.apple.syslog.plist" (taper sans guillemets),
Donne :
rm: cannot remove 'rm /System/Library/LaunchDaemons/com.apple.syslog.plist' : No such file or directory

Seconde ligne de code fonctionne que si login en admin donc avant tout rentrer :
su
(enter puis le mot de passe)
De même pour pouvoir faire la troisième ligne.

Et, identique à la première, la dernière ne marche pas non plus.
:S

Mais fonctionne tout de même
Donc merci à toi, je confirme que ça marche.

A+

[ilos]

penser a désactivé le SSH quand vous n'en avez aucune utilité....

[zazeur]

SSH dans BossPrefs ne me semble pas fonctionner correctement :S
Je vais mettre SBSSettings ...

Encore merci.
A+

Edit :
Sur le second iPhone, j'ai testé avec seulement les lignes de codes 2 et 3,
Et ça marche.

A+

[cok78]

Bonjour a tous,
 Comment faire pour désactivé le SSH ?
Merci

[eunectes]

Chez moi toggle ssh ne marche pas, alors que sb settings oui mais il faut recommencer a chaque allumage.

Donc j'ai désinstaller oppen ssh dans cydia et op plus de problème.

BossPrefs ne semble effectivement rien faire

[zazeur]

Hum ma soeur en changeant pour une autre image a re-eu le truc.
Il semble que pour bien changer le mot de passe, il faut faire LES DEUX façons :
1) Dans le terminal du iPhone rentrer (sans les commentaires des parenthèses) :
passwd (enter puis rentrer l'ancien mot de passe qui est "alpine" (sans guillemets) puis le nouveau une fois, et le re-validé)
2) Toujours dans le terminal, il faut se connecter en root donc rentrer :
su (entrer puis entrer "alpine" pour être en root puis faites l'étape 1 (passwd))

A+

[k.ri]

je confirme, il faut effectuer les deux manip pour changer le mdp sinon cela ne fonctionne pas et les hacker auront tjrs la possibilite de pirater l'iphone par ssh

[zazeur]

Explication/Interview (en anglais) par le créateur :
http://blog.jeltel.com.au/2009/11/interview-with-ikee-iphone-virus.html

Bien que la manipulation décrite dans nos post fonctionne, vous pouvez tout de même nettoyer cela plus en profondeur :
[10:33] <JD> Can you please explain to me, how an infected user would remove the different versions correctly?
[10:33] <JD> by correctly, I mean completely.
[10:33] <ikee> Sure, variants A-C store files in these directories
[10:34] <ikee> /bin/poc-bbot
[10:34] <ikee> /bin/sshpass
[10:34] <ikee> /var/log/youcanbeclosertogod.jpg
[10:34] <ikee> /var/mobile/LockBackground.jpg
[10:35] <ikee> /System/Library/LaunchDaemons/com.ikey.bbot.plist
[10:35] <ikee> /var/lock/bbot.lock
[10:35] <ikee> using an rm (in SSH or mobile-terminal on those files will remove it)
[10:36] <ikee> then reboot the phone, change your password and reinstall SSH
[10:36] <ikee> For variant D its abit different
[10:36] <ikee> The locations are
[10:37] <ikee> /usr/libexec/cydia/startup
[10:37] <ikee> /usr/libexec/cydia/startup.so
[10:37] <ikee> /usr/libexec/cydia/startup-helper
[10:37] <ikee> /System/Library/LaunchDaemons/com.saurik.Cydia.Startup.plist
[10:38] <ikee> Of course cydia used these files previously so you may need to reinstall it after deleting this files

J'espère que personne n'essayera de nuir encore a l'iPhone :p

A+

[mgt76]

Je viens de lire mais vu mon niveau, ne ne comprend pas.
Est ce qu'il existe un tuto décrivant la technique en détail.
Un espère de "Change ton pass SSH pour les Nuls?

[Co3™]

Je confirme.
Voici donc les étapes une à une.

1- Ouvrir MobileTerminal et taper:
passwd

2- Puis  MobileTerminal demande "Old Password", et taper:
alpine

3- Puis MobileTerminal demande "New Password", et taper:
Votre Nouveau Password

4- Puis MobileTerminal demande "Retype new password", et taper:
Votre Nouveau Password

5- Puis dans MobileTerminal taper:
su root

6- Puis MobileTerminal demande le Password:
alpine (par defaut pour root)

7- Vous voila connecter en Root (VotreNom:/var/mobile root# ), on change de nouveau le mot de passe, en tapant :
passwd

8- Terminal demande "Changing passsword for Root. New password":
Votre Nouveau password

9- Puis Terminal demande "Retype new password", et taper:
Votre Nouveau Password

Voila, votre mot de passe est modifié.