Ảnh minh họa: Internet

“ohshit” không phải là mật khẩu hay đáng giữ để dùng trên chiếc iPhone, bạn có thể hóa giải loại sâu mới và thay đổi mật khẩu khó chịu này theo các bước sau.

Cách hoạt động của sâu

Sâu mới mang tên Duh theo cách gọi của Sophos được chia thành 2 phần chính. Phần đầu tiên là một chương trình có tên sshd vốn sao chép mã nguồn từ người “anh họ” Ikee và đây cũng là thành phần lây nhiễm. Nó quét hàng loạt địa chỉ IP trong phạm vi rộng để tìm kiếm các nạn nhân mà nó có thể kết nối thông qua SSH (port 22) với quyền hạn cao nhất bằng tài khoản root cùng mật khẩu alpine.

Sau khi thâm nhập vào iPhone, nó tạo ra một thư mục /private/var/mobile/home để chứa mã độc (thư mục /private/var/mobile là nơi chứa dữ liệu cá nhân của người dùng iPhone như nhạc, ảnh…). Thành phần lây nhiễm cài đặt mã độc bằng cách sao chép qua một bản lưu trữ được gọi là cydia.tgz, mở gói và chạy một bộ mã inst.

Kế đến, thành phần lây nhiễm tạo một chuỗi ngẫu nhiên bao gồm các ký tự số nhằm tạo 1 định danh (ID) cho máy tính của bạn. ID sẽ được lưu trữ trong tập tin /etc/rel. Phần thông tin ID, tên hệ thống của iPhone lẫn các địa chỉ IP mà sâu thu thập sẽ được gửi về một máy chủ tại Lithuania (quốc gia ở miền đông bắc Châu Âu). Cuối cùng, thành phần lây nhiễm thay đổi mật khẩu từ “alpine” sang “ohshit”.

Ảnh
Mã nguồn thành phần lây nhiễm (infector) được các chuyên gia bảo mật Sophos "soi" kỹ - Ảnh: Sophos.

  Phần thứ 2 của sâu là một bộ mã có tên syslog. Đây là thành phần ”thây ma” (zombie) được cấu hình bởi thành phần lây nhiễm để gọi ngược trở về máy chủ mỗi 5 phút thông qua một chương trình gọi là duh. Chương trình duh cũng chỉ đơn giản là một cỗ máy tải dữ liệu (downloader) qua giao thức HTTP. Duh có thể tải bất cứ gì như là các câu lệnh shell có khả năng được thực thi nhằm cung cấp cho tin tặc khả năng điều khiển từ xa iPhone của nạn nhân.

Hóa giải sâu ra khỏi iPhone

Để dọn dẹp sâu mới ra khỏi chiếc điện thoại cưng của mình, bạn đăng nhập vào hệ thống với tên root và mật khẩu là ohshit rồi xóa các tập tin sau:

/private/var/mobile/home/sshd

/private/var/mobile/home/cydia.tgz

/private/var/mobile/home/inst

/private/var/mobile/home/syslog

/private/var/mobile/home/duh

Đối với những máy iPhone bẻ khóa chưa lây nhiễm, bạn cũng nên xóa toàn bộ thư mục /home và những thứ bên trong nó bao gồm cả việc xóa cả tập tin /etc/rel.

Sau khi dọn dẹp sâu khỏi hệ thống, bước kế đến là thay đổi mật khẩu để ngăn sâu tái xâm nhập. Theo mặc định, tài khoản root và mobile có chung mật khẩu mặc định là “alpine” nên bạn cần phải thay đổi bằng cách sử dụng tập lệnh thông qua ứng dụng MobileTerminal.

- Bước 1: cài đặt trình Cydia để thuận tiện cho việc tìm kiếm ứng dụng bằng cách Installer, nhấn vào biểu tượng Sources ở gần phía dưới, chọn Edit - Add rồi gõ vào "apptapp.saurik.com" (không bao gồm ngoặc kép). Giao diện Sources sẽ được làm mới, chọn Cydia Installer (máy đang có kết nối Internet). Mất 1 khoảng thời gian để tải ứng dụng về iPhone rồi nhấn chấp nhận quy định sử dụng để bắt đầu.

Khi được yêu cầu cập nhật, bạn chọn "Upgrade Essentials" và để nó nâng cấp. Lưu ý: khi được yêu cầu khởi động lại (restart) thì bạn khoan thực hiện mà chờ cho đến khi thanh trạng thái báo đã hoàn tất.

- Bước 2: Cài đặt Cydia hoàn thành, bạn kích hoạt Cydia từ giao diện chủ (home) của iPhone. Gõ MobileTerminal để tìm ứng dụng này cài đặt vào iPhone.

Ảnh
Kích hoạt Cydia
Ảnh
Tìm MobileTerminal và cài đặt vào iPhone

 

Nhấn "Install" để cài đặt MobileTerminal và "Confirm" để xác nhận. Sau khi cài đặt hoàn tất, nhấn "Return to Cydia" và nhấn vào nút home về giao diện chủ.

Ảnh
Cài đặt hoàn tất
Ảnh
Kích hoạt Terminal từ giao diện chủ

Tại giao diện chủ của iPhone, nhấn vào biểu tượng Terminal vừa cài đặt để kích hoạt giao diện thao tác qua câu lệnh.

- Bước 3: tại giao diện dấu nhắc lệnh (giống DOS trong Windows trước đây), gõ câu lệnh passwd

Bạn sẽ bị yêu cầu nhập mật khẩu cho tài khoản, gõ alpine. Sau khi nhập mật khẩu mặc định, bạn sẽ gõ mật khẩu mới khi dòng "New password: " xuất hiện rồi chọn Enter. Gõ vào mật khẩu mới và gõ lại vào phần "Retype new password: " để xác nhận.

Xong bước đổi mật khẩu mặc định cho tài khoản mobile, còn lại là tài khoản cao cấp nhất: root. Để thay đổi mật khẩu cho root, bạn cần đăng nhập bằng tài khoản root trước bằng cách gõ login ở dấu nhắc lệnh rồi gõ root, nhập alpine khi được hỏi mật khẩu. Đến đây thì bạn thao tác lại như trên bằng cách gõ câu lệnh passwd rồi gõ tiếp mật khẩu mới cho tài khoản root. Xác nhận lại lần nữa là bạn đã thay đổi thành công mật khẩu cho 2 tài khoản mobile và root.

Khởi động lại máy và thử đăng nhập trở lại với mật khẩu mới. Giờ đây không còn phải lo ngại bị xâm nhập trái phép từ cổng kết nối SSH hay bị đe dọa tấn công bởi sâu.

(Theo TuoiTreOnline)



Bình luận

  • TTCN (0)