IBM выпустила предупреждение для своих клиентов, сообщив, что некоторые USB-накопители, поставляемые вместе с продуктами IBM Storwize, заражены вредоносным ПО.
USB-накопитель содержит средство инициализации для IBM Storwize, крупной системы хранения данных (стоечной системы дисков) для центров обработки данных.
Слева: заражённый USB-накопитель, справа: IBM Storwize
Заводской номер зараженных флеш-накопителей — 01AC585. IBM уточняет, что эти USB-накопители поставляются с такими продуктами, как:
- IBM Storwize V3500-2071, модели 02A и 10A;
- IBM Storwize V3700-2072, модели 12C, 24C и 2DC;
- IBM Storwize V5000-2077, модели 12C и 24C;
- IBM Storwize V5000-2078, модели 12C и 24C.
Как утверждает IBM, ни система хранения данных IBM Storwize, ни хранящиеся в этих системах данные не заражены вредоносным кодом.
Более того, эта проблема не затрагивает флеш-накопители USB, используемые для управления ключами шифрования, которые также поставляются с оборудованием Storwize.
Вредоносный код копируется, но не выполняется
Согласно данным IBM, когда пользователи запускают средство инициализации IBM Storwize, вредоносный код копируется вместе с остальной частью инструмента на пользовательское устройство. Вот путь, по которому копируются эти данные:
- На Windows:
%TMP%\initTool; - На Linux и Mac:
/tmp/initTool.
IBM сообщает, что вредоносный код только копируется, но не выполняется. Компания не уточняет природу вредоносного кода или детали его появления на флеш-накопителях, но, основываясь на текущих находках антивирусных инструментов, это может быть обычный загрузчик вредоносных программ.
MD5-хэш вредоносного файла — 0178a69c43d4c57d401bf9596299ea57, и большинство поставщиков антивирусных программ уже обнаруживают его под разными именами.
| Антивирус | Подпись | Версия | Обновление |
| AhnLab-V3 | Win32/Pondre | 3.8.3.16811 | 20170330 |
| ESET-NOD32 | Win32/TrojanDropper.Agent.PYF | 15180 | 20170331 |
| Kaspersky | Trojan.Win32.Reconyc.hvow | 15.0.1.13 | 20170331 |
| McAfee | PWSZbot-FIB!0178A69C43D4 | 6.0.6.653 | 20170331 |
| McAfee-GW-Edition | PWSZbot-FIB!0178A69C43D4 | v2015 | 20170331 |
| Microsoft | VirTool:Win32/Injector.EG | 1.1.13601.0 | 20170331 |
| Qihoo-360 | Virus.Win32.WdExt.A | 1.0.0.1120 | 20170331 |
| Symantec | W32.Faedevour!inf | 1.2.1.0 | 20170330 |
| Tencent | Trojan.Win32.Daws.a | 1.0.0.1 | 20170331 |
| TrendMicro | PE_WINDEX.A | 9.740.0.1012 | 20170331 |
| TrendMicro-HouseCall | PE_WINDEX.A | 9.900.0.1004 | 20170331 |
| ZoneAlarm | Trojan.Win32.Reconyc.hvow | 1 | 20170331 |
IBM рекомендует отформатировать USB-накопители
Если вы обладатель данного флэш-накопителя и уже использовали его, то вот что рекомендуется сделать:
- Убедитесь, что ваш антивирус обновлен до последней версии, может сканировать временные директории и может решать выявленные проблемы. Если все так, то он скорее всего уже удалил вредоносный файл. Если нет, то сделайте это самостоятельно, удалив временные разделы: %TMP%\initTool на Windows и /tmp/initTool на Linux и Mac.
- В случае с Windows убедитесь, что директория удалена окончательно, а не перенесена в Корзину. Это можно сделать, нажав Shift → Правая кнопка мыши → Удалить раздел.
Далее вы должны предпринять один из следующих шагов — их должны сделать и те, кто не использовал флэш-накопители для инициализации:
- Безопасно уничтожьте флешку.
- Почините ее (для тех, кому не лень):
- После удаления вредоносного кода с зараженных устройств, отформатируйте флэш-накопитель.
- Скачайте безопасную копию средства инициализации Storwize.
- Разархивируйте ее содержимое на исходный USB-накопитель.
- Просканируйте флешку антивирусом.
Источник: BleepingComputer
