IBM сообщила, что некоторые флешки для инициализации Storwize заражены вредоносным ПО

IBM выпустила предупреждение для своих клиентов, сообщив, что некоторые USB-накопители, поставляемые вместе с продуктами IBM Storwize, заражены вредоносным ПО.

USB-накопитель содержит средство инициализации для IBM Storwize, крупной системы хранения данных (стоечной системы дисков) для центров обработки данных.

Storwize

Слева: заражённый USB-накопитель, справа: IBM Storwize

Заводской номер зараженных флеш-накопителей — 01AC585. IBM уточняет, что эти USB-накопители поставляются с такими продуктами, как:

  • IBM Storwize V3500-2071, модели 02A и 10A;
  • IBM Storwize V3700-2072, модели 12C, 24C и 2DC;
  • IBM Storwize V5000-2077, модели 12C и 24C;
  • IBM Storwize V5000-2078, модели 12C и 24C.

Как утверждает IBM, ни система хранения данных IBM Storwize, ни хранящиеся в этих системах данные не заражены вредоносным кодом.

Более того, эта проблема не затрагивает флеш-накопители USB, используемые для управления ключами шифрования, которые также поставляются с оборудованием Storwize.

Вредоносный код копируется, но не выполняется

Согласно данным IBM, когда пользователи запускают средство инициализации IBM Storwize, вредоносный код копируется вместе с остальной частью инструмента на пользовательское устройство. Вот путь, по которому копируются эти данные:

  • На Windows: %TMP%\initTool;
  • На Linux и Mac: /tmp/initTool.

IBM сообщает, что вредоносный код только копируется, но не выполняется. Компания не уточняет природу вредоносного кода или детали его появления на флеш-накопителях, но, основываясь на текущих находках антивирусных инструментов, это может быть обычный загрузчик вредоносных программ.

MD5-хэш вредоносного файла — 0178a69c43d4c57d401bf9596299ea57, и большинство поставщиков антивирусных программ уже обнаруживают его под разными именами.

Антивирус Подпись Версия Обновление
AhnLab-V3 Win32/Pondre 3.8.3.16811 20170330
ESET-NOD32 Win32/TrojanDropper.Agent.PYF 15180 20170331
Kaspersky Trojan.Win32.Reconyc.hvow 15.0.1.13 20170331
McAfee PWSZbot-FIB!0178A69C43D4 6.0.6.653 20170331
McAfee-GW-Edition PWSZbot-FIB!0178A69C43D4 v2015 20170331
Microsoft VirTool:Win32/Injector.EG 1.1.13601.0 20170331
Qihoo-360 Virus.Win32.WdExt.A 1.0.0.1120 20170331
Symantec W32.Faedevour!inf 1.2.1.0 20170330
Tencent Trojan.Win32.Daws.a 1.0.0.1 20170331
TrendMicro PE_WINDEX.A 9.740.0.1012 20170331
TrendMicro-HouseCall PE_WINDEX.A 9.900.0.1004 20170331
ZoneAlarm Trojan.Win32.Reconyc.hvow 1 20170331

IBM рекомендует отформатировать USB-накопители

Если вы обладатель данного флэш-накопителя и уже использовали его, то вот что рекомендуется сделать:

  1. Убедитесь, что ваш антивирус обновлен до последней версии, может сканировать временные директории и может решать выявленные проблемы. Если все так, то он скорее всего уже удалил вредоносный файл. Если нет, то сделайте это самостоятельно, удалив временные разделы: %TMP%\initTool на Windows и /tmp/initTool на Linux и Mac.
  2. В случае с Windows убедитесь, что директория удалена окончательно, а не перенесена в Корзину. Это можно сделать, нажав Shift → Правая кнопка мыши → Удалить раздел.

Далее вы должны предпринять один из следующих шагов — их должны сделать и те, кто не использовал флэш-накопители для инициализации:

  1. Безопасно уничтожьте флешку.
  2. Почините ее (для тех, кому не лень):
    1. После удаления вредоносного кода с зараженных устройств, отформатируйте флэш-накопитель.
    2. Скачайте безопасную копию средства инициализации Storwize.
    3. Разархивируйте ее содержимое на исходный USB-накопитель.
    4. Просканируйте флешку антивирусом.

Источник: BleepingComputer