Buona sera a tutti. In un lavoro di routine per un mio cliente di verifica malware su devices mobili, ho rilevato la presenza di un virus per win (ovviamente non dannoso per l’iPhone) in una directory non visibile dell’OS. Come strumento ho utilizzato Phisical Analyzer di una nota azienda israeliana, che mi permette, sull’iPhone 5S, di effettuare un backup senza l’ausilio di iTunes, per poi analizzare i contenuti del file system. Sebbene non sia pericoloso, sarebbe buona cosa eliminarlo nel caso entri in contatto con un ambiente win. Per fortuna il mio cliente usa solo Apple, ma purtroppo ha sincronizzato con lo stesso Mac altri devices, tra cui 2 iPad, e ritengo che il virus sara sparso un po’ in giro, perchè sincronizzato.
Vorrei trovare un modo di eliminarlo escludendo a priori:
Jailbreak per entrare nella directory e rimuovere manualmente il file
Piallare (ripristinare) il cell e cancellare tutti i backup
Idea: Pulire il backup infetto, eliminando il file incriminato (peraltro che ho già identificato mediante verifica dell’hash) e farlo digerire ad un iPhone5S nuovo (tenendo il vecchio nel caso l’operazione fallisca). Rietere l’operazione anche per gli iPad eventualmente infetti. Qualche idea a proposito? Potrebbe funzionare? E’ possibile importare in iTunes una cartella di backup?
Ciao, secondo me ripristinando a nuovo risolveresti ovviamente. Mi domando come abbia fatto ad entrare in file di sistema. Sicuro che non sia un normalissimi file che serve all’iPhone che il programma tI rileva come falso positivo?
Cosa intendi per importare una cartella di backup su iTunes?
Chiedo scusa, potresti cercare di spiegare in che modo hai rilevato la presenza del virus e il nome del file incriminato?
Credo sia molto difficile, se non impossibile, che un programma eseguibile in ambiente windows riesca a nascondersi in dei file non accessibili di un iPhone, non jailbroken tra l’altro…
Il fatto mi incuriosisce…
Ciao Soul, escludo che sia un falso positivo proprio perchè l’ho verificato con una chiave hash. il virus è:
File Name : SYN.exe
File Size : 303104 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
Questo file si trova in due directory dell’iPhone: /Documents/DCIM20130516.rar e /Documents/Inbox/DCIM20130516.rar. Come vedi è un file zippato rar. Come ci sia arrivato dentro è una bellissima domanda, devo indagare meglio, ma dai nomi delle cartelle sembrerebbe tramite un programma di messaggistica. Per importare in iTunes un backup intendo far riconoscere da iTunes un backup creato con programmi di terze parti … so che ripristinare il tutto è la strada per risolvere il problema in via definitiva, ma vorrei perlustrare altre strade meno radicali e emmhhh più redditizie
Virus di win rilevato in un iPhone 5S. Come eliminarlo?
Ora non ho il pc con me per controllare ma forse quella cartella è accessibile. O meglio è sicuramente accessibile perché altrimenti non si sarebbe potuto radicare proprio per la struttura a sandbox di iOS e per la tipologia di file per ambiente windows. Potresti provare a vedere con programmi tipo ifunbox oppure iexplorer se ti fa accedere. O anche tentare una pulizia con phoneclean
Aggiungo scusa, quelle cartelle sono presenti in tutte le app. Si dovrebbe cercare a quale app fa riferimento
Dal Log sembrerebbe che il file si trovi all’interno di un archivio scaricato da qualche applicazione… Potresti collegare l’iPhone ad un computer… Possibilmente un Mac, aprire iTunes e guardare tra la scheda applicazioni… Se, tra quelle che hanno possibilità di gestione dei file da iTunes, compare proprio quell’archivio… Denominato con un classico prefisso collegato alle macchine fotografiche (?) … In caso positivo puoi procedere alla rimozione del file da iTunes stesso… Prova così
@ThePex. Ho usato un programma che si chiama UFED Phisical Analyzer. Serve per lo più ad estrarre i dati dai telefoni cellulari e tablet sequestrati dalla Polizia ed analizzarne i contenuti per fini giudiziari. Ha una sezione per analizzare e rilevare i malware presenti nei cellulari
Si però non ti da il percorso. Potresti provare a fare come suggerito da ThePex almeno ti togli il dubbio Per caso nel telefono c’è un app di mail o messaggistica che non sono quelle native?
Virus di win rilevato in un iPhone 5S. Come eliminarlo?
E’ da qualche tempo che non accedo al cell senza itunes e non ricordo di preciso, ma la sottocartella documents, virtualmente e’ contenuta in molte app ed e’ utilizzabile come “cartella dati” dove e’ possibile metterci di tutto…
E quindi Qualcosa di assimilabile ad una flash drive usb dove puo’ essere messo di tutto (e non puo essere dannoso ad alcunche, fintanto che il file non venga preso e copiato sul pc manualmente ed in seguito eseguito)
Io proverei semplicemente a sfogliare le cartelle delle app alla ricerca del file e quindi cancellarlo. (E chiedere info su come sia stato copiato li… Anche se, da quanto sembra risultare, non potrebbe portare ad alcun danno)
Ot: io chiederei se il soft in questione aggira la protezione di trust pc aggiunta in ios7, permettendo di accedere ai dati anche su un pc non autorizzato dal telefono e con codice di blocco
Spero di no… Perche’ seppur ben venga pe motivi di “legge”, potrebbe essere usato per curiosare
(Penso interessi a molti la cosa.)
Buongiorno a tutti. Ho fatto altre ricerche ma che mi danno informazioni poco pratiche:
La cartella DOCUMENTS in oggetto non è una sottocartella ma è un contenitore di sistema generico nella directory principale dell’iPhone, dove numerosissime app memorizzano i loro dati
La sua sottocartella DOCUMENTS/INBOX è stata creata dal programma Zip Browser Pro, che è una app che consente di visualizzare il contenuto dei file con estensione zippata. Il file DCIM20130516.rar si trova anche in quella cartella perchè la app avrà cercato di scompattarlo.
L’unico riferimento al file DCIM20130516.rar, facendo una verifica a basso livello con un editor esadecimale del dump estratto dall’iPhone, si trova nel file manifest.mdbd in /BACKUP. Questo file serve, oltre a funzioni di backup, di stabilire sotto quale dominio possono essere gestiti i file nell’iPhone. In queso caso DCIM20130516.rar è sotto il dominio della app Zip Browser Pro.
Le uniche conclusioni che posso tirare al momento sono che non è possibile stabilire come sia arrivato quel virus nella cartella DOCUMENTS. Il file è stato crato il 24/09/2013 e nemmeno le cronologie dei browser non arrivano più a quel periodo. In secondo luogo non mi sembra che ci siano app installate in grado di accedere al file per eliminarlo, ma ce ne sono 135 installate e controllarle tutte richiede tempo. Non possiedo più il cell in oggetto, quindi al momento non posso effettuare ulteriori prove, ma settimana prossima potrò fare le verifiche anche sugli iPad sincronizzati. Ciao!
Grazie per le info. La cartella Documents non è esattamente un contenitore per le app. Ma ogni app ha la sua cartella documents. Da qui non si scappa
Il file che tu hai menzionato quindi è verosimilmente in questa posizione:
ZiptoBrowser/Documents (il primo)
Ziptobroser/Dcuments/INbox (il secondo)
Sarà stato sicuramente scaricato da internet, e l’app lo ha memorizzato in quelle due posizioni