Virus di win rilevato in un iPhone 5S. Come eliminarlo?

Buona sera a tutti. In un lavoro di routine per un mio cliente di verifica malware su devices mobili, ho rilevato la presenza di un virus per win (ovviamente non dannoso per l’iPhone) in una directory non visibile dell’OS. Come strumento ho utilizzato Phisical Analyzer di una nota azienda israeliana, che mi permette, sull’iPhone 5S, di effettuare un backup senza l’ausilio di iTunes, per poi analizzare i contenuti del file system. Sebbene non sia pericoloso, sarebbe buona cosa eliminarlo nel caso entri in contatto con un ambiente win. Per fortuna il mio cliente usa solo Apple, ma purtroppo ha sincronizzato con lo stesso Mac altri devices, tra cui 2 iPad, e ritengo che il virus sara sparso un po’ in giro, perchè sincronizzato.
Vorrei trovare un modo di eliminarlo escludendo a priori:

  • Jailbreak per entrare nella directory e rimuovere manualmente il file
  • Piallare (ripristinare) il cell e cancellare tutti i backup
    Idea: Pulire il backup infetto, eliminando il file incriminato (peraltro che ho già identificato mediante verifica dell’hash) e farlo digerire ad un iPhone5S nuovo (tenendo il vecchio nel caso l’operazione fallisca). Rietere l’operazione anche per gli iPad eventualmente infetti. Qualche idea a proposito? Potrebbe funzionare? E’ possibile importare in iTunes una cartella di backup?

Ciao, secondo me ripristinando a nuovo risolveresti ovviamente. Mi domando come abbia fatto ad entrare in file di sistema. Sicuro che non sia un normalissimi file che serve all’iPhone che il programma tI rileva come falso positivo?
Cosa intendi per importare una cartella di backup su iTunes?

Chiedo scusa, potresti cercare di spiegare in che modo hai rilevato la presenza del virus e il nome del file incriminato?
Credo sia molto difficile, se non impossibile, che un programma eseguibile in ambiente windows riesca a nascondersi in dei file non accessibili di un iPhone, non jailbroken tra l’altro…
Il fatto mi incuriosisce…

in effetti…

è parecchia anomala come situazione…

comunque sia puoi utilizzare programmi come ibackupbot per sfogliare i file del backup.

Ciao Soul, escludo che sia un falso positivo proprio perchè l’ho verificato con una chiave hash. il virus è:
File Name : SYN.exe
File Size : 303104 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
Questo file si trova in due directory dell’iPhone: /Documents/DCIM20130516.rar e /Documents/Inbox/DCIM20130516.rar. Come vedi è un file zippato rar. Come ci sia arrivato dentro è una bellissima domanda, devo indagare meglio, ma dai nomi delle cartelle sembrerebbe tramite un programma di messaggistica. Per importare in iTunes un backup intendo far riconoscere da iTunes un backup creato con programmi di terze parti … so che ripristinare il tutto è la strada per risolvere il problema in via definitiva, ma vorrei perlustrare altre strade meno radicali e emmhhh più redditizie :wink:

Virus di win rilevato in un iPhone 5S. Come eliminarlo?

Ora non ho il pc con me per controllare ma forse quella cartella è accessibile. O meglio è sicuramente accessibile perché altrimenti non si sarebbe potuto radicare proprio per la struttura a sandbox di iOS e per la tipologia di file per ambiente windows. Potresti provare a vedere con programmi tipo ifunbox oppure iexplorer se ti fa accedere. O anche tentare una pulizia con phoneclean
Aggiungo scusa, quelle cartelle sono presenti in tutte le app. Si dovrebbe cercare a quale app fa riferimento

io uso iTools 2013 per navigare e quella cartella non la vedo

Se esplori un app vedrai che dentro hai le cartelle Library documents Ed una che contiene file relativi all’app stessa

Dal Log sembrerebbe che il file si trovi all’interno di un archivio scaricato da qualche applicazione… Potresti collegare l’iPhone ad un computer… Possibilmente un Mac, aprire iTunes e guardare tra la scheda applicazioni… Se, tra quelle che hanno possibilità di gestione dei file da iTunes, compare proprio quell’archivio… Denominato con un classico prefisso collegato alle macchine fotografiche (?) … In caso positivo puoi procedere alla rimozione del file da iTunes stesso… Prova così :slight_smile:

@ThePex. Ho usato un programma che si chiama UFED Phisical Analyzer. Serve per lo più ad estrarre i dati dai telefoni cellulari e tablet sequestrati dalla Polizia ed analizzarne i contenuti per fini giudiziari. Ha una sezione per analizzare e rilevare i malware presenti nei cellulari

Si però non ti da il percorso. Potresti provare a fare come suggerito da ThePex almeno ti togli il dubbio Per caso nel telefono c’è un app di mail o messaggistica che non sono quelle native?

cmq grazie per gli input. ora sono stanco e stacco ma vi tengo aggiornati. una buona serata

Esattamente, la parola Inbox fa pensare che sia stato scaricato sul telefono come allegato via e-mail… (Cosa molto molto probabile)…

Ti consiglio di provare a controllare anche tutte le applicazioni di messaggistica che consentono l’invio di archivi come allegato. :wink:

Raga grazie per le info. sono stanco e stacco. vi tengo aggiornati

Grazie anche a te. Ora siamo curiosi. Mi raccomando facci sapere :wink:

Syn DCIM sembrerebbe una sincronizzazioni di immagini … Allegati appunto …

Inviato dal mio iPhone 5s

Virus di win rilevato in un iPhone 5S. Come eliminarlo?

E’ da qualche tempo che non accedo al cell senza itunes e non ricordo di preciso, ma la sottocartella documents, virtualmente e’ contenuta in molte app ed e’ utilizzabile come “cartella dati” dove e’ possibile metterci di tutto…
E quindi Qualcosa di assimilabile ad una flash drive usb dove puo’ essere messo di tutto (e non puo essere dannoso ad alcunche, fintanto che il file non venga preso e copiato sul pc manualmente ed in seguito eseguito)

Io proverei semplicemente a sfogliare le cartelle delle app alla ricerca del file e quindi cancellarlo. (E chiedere info su come sia stato copiato li… Anche se, da quanto sembra risultare, non potrebbe portare ad alcun danno)

Ot: io chiederei se il soft in questione aggira la protezione di trust pc aggiunta in ios7, permettendo di accedere ai dati anche su un pc non autorizzato dal telefono e con codice di blocco

Spero di no… Perche’ seppur ben venga pe motivi di “legge”, potrebbe essere usato per curiosare
(Penso interessi a molti la cosa.)

esatto. App di messaggistica forse.

E comunque mi sembra impossibile che un virus/spyware/malware eseguibile su Windows possa recare danni su un OS mobile come iOS.

Generalmente un virus su Windows ha estensione “.exe” (se si tratta di Trojan-Horse ecc ecc). Ma non vedo come tu possa aprirlo su iOS.

Non penso possa far danni sul tuo telefono.

Il come ci sia arrivato rimane un dilemma. Ma qualche app di messaggistica può essere stata la causa.

Buongiorno a tutti. Ho fatto altre ricerche ma che mi danno informazioni poco pratiche:

  1. La cartella DOCUMENTS in oggetto non è una sottocartella ma è un contenitore di sistema generico nella directory principale dell’iPhone, dove numerosissime app memorizzano i loro dati
  2. La sua sottocartella DOCUMENTS/INBOX è stata creata dal programma Zip Browser Pro, che è una app che consente di visualizzare il contenuto dei file con estensione zippata. Il file DCIM20130516.rar si trova anche in quella cartella perchè la app avrà cercato di scompattarlo.
  3. L’unico riferimento al file DCIM20130516.rar, facendo una verifica a basso livello con un editor esadecimale del dump estratto dall’iPhone, si trova nel file manifest.mdbd in /BACKUP. Questo file serve, oltre a funzioni di backup, di stabilire sotto quale dominio possono essere gestiti i file nell’iPhone. In queso caso DCIM20130516.rar è sotto il dominio della app Zip Browser Pro.
    Le uniche conclusioni che posso tirare al momento sono che non è possibile stabilire come sia arrivato quel virus nella cartella DOCUMENTS. Il file è stato crato il 24/09/2013 e nemmeno le cronologie dei browser non arrivano più a quel periodo. In secondo luogo non mi sembra che ci siano app installate in grado di accedere al file per eliminarlo, ma ce ne sono 135 installate e controllarle tutte richiede tempo. Non possiedo più il cell in oggetto, quindi al momento non posso effettuare ulteriori prove, ma settimana prossima potrò fare le verifiche anche sugli iPad sincronizzati. Ciao!

Grazie per le info. La cartella Documents non è esattamente un contenitore per le app. Ma ogni app ha la sua cartella documents. Da qui non si scappa :wink:
Il file che tu hai menzionato quindi è verosimilmente in questa posizione:
ZiptoBrowser/Documents (il primo)
Ziptobroser/Dcuments/INbox (il secondo)
Sarà stato sicuramente scaricato da internet, e l’app lo ha memorizzato in quelle due posizioni