IBM сообщила, что некоторые флешки для инициализации Storwize заражены вредоносным ПО

IBM выпустила предупреждение для своих клиентов, сообщив, что некоторые USB-накопители, поставляемые вместе с продуктами IBM Storwize, заражены вредоносным ПО.

USB-накопитель содержит средство инициализации для IBM Storwize, крупной системы хранения данных (стоечной системы дисков) для центров обработки данных.

Storwize

Слева: заражённый USB-накопитель, справа: IBM Storwize

Заводской номер зараженных флеш-накопителей — 01AC585. IBM уточняет, что эти USB-накопители поставляются с такими продуктами, как:

  • IBM Storwize V3500-2071, модели 02A и 10A;
  • IBM Storwize V3700-2072, модели 12C, 24C и 2DC;
  • IBM Storwize V5000-2077, модели 12C и 24C;
  • IBM Storwize V5000-2078, модели 12C и 24C.

Как утверждает IBM, ни система хранения данных IBM Storwize, ни хранящиеся в этих системах данные не заражены вредоносным кодом.

Более того, эта проблема не затрагивает флеш-накопители USB, используемые для управления ключами шифрования, которые также поставляются с оборудованием Storwize.

Вредоносный код копируется, но не выполняется

Согласно данным IBM, когда пользователи запускают средство инициализации IBM Storwize, вредоносный код копируется вместе с остальной частью инструмента на пользовательское устройство. Вот путь, по которому копируются эти данные:

  • На Windows: %TMP%\initTool;
  • На Linux и Mac: /tmp/initTool.

IBM сообщает, что вредоносный код только копируется, но не выполняется. Компания не уточняет природу вредоносного кода или детали его появления на флеш-накопителях, но, основываясь на текущих находках антивирусных инструментов, это может быть обычный загрузчик вредоносных программ.

MD5-хэш вредоносного файла — 0178a69c43d4c57d401bf9596299ea57, и большинство поставщиков антивирусных программ уже обнаруживают его под разными именами.

АнтивирусПодписьВерсияОбновление
AhnLab-V3Win32/Pondre3.8.3.1681120170330
ESET-NOD32Win32/TrojanDropper.Agent.PYF1518020170331
KasperskyTrojan.Win32.Reconyc.hvow15.0.1.1320170331
McAfeePWSZbot-FIB!0178A69C43D46.0.6.65320170331
McAfee-GW-EditionPWSZbot-FIB!0178A69C43D4v201520170331
MicrosoftVirTool:Win32/Injector.EG1.1.13601.020170331
Qihoo-360Virus.Win32.WdExt.A1.0.0.112020170331
SymantecW32.Faedevour!inf1.2.1.020170330
TencentTrojan.Win32.Daws.a1.0.0.120170331
TrendMicroPE_WINDEX.A9.740.0.101220170331
TrendMicro-HouseCallPE_WINDEX.A9.900.0.100420170331
ZoneAlarmTrojan.Win32.Reconyc.hvow120170331

IBM рекомендует отформатировать USB-накопители

Если вы обладатель данного флэш-накопителя и уже использовали его, то вот что рекомендуется сделать:

  1. Убедитесь, что ваш антивирус обновлен до последней версии, может сканировать временные директории и может решать выявленные проблемы. Если все так, то он скорее всего уже удалил вредоносный файл. Если нет, то сделайте это самостоятельно, удалив временные разделы: %TMP%\initTool на Windows и /tmp/initTool на Linux и Mac.
  2. В случае с Windows убедитесь, что директория удалена окончательно, а не перенесена в Корзину. Это можно сделать, нажав Shift → Правая кнопка мыши → Удалить раздел.

Далее вы должны предпринять один из следующих шагов — их должны сделать и те, кто не использовал флэш-накопители для инициализации:

  1. Безопасно уничтожьте флешку.
  2. Почините ее (для тех, кому не лень):
    1. После удаления вредоносного кода с зараженных устройств, отформатируйте флэш-накопитель.
    2. Скачайте безопасную копию средства инициализации Storwize.
    3. Разархивируйте ее содержимое на исходный USB-накопитель.
    4. Просканируйте флешку антивирусом.

Источник: BleepingComputer