IBM сообщила, что некоторые флешки для инициализации Storwize заражены вредоносным ПО

IBM выпустила предупреждение для своих клиентов, сообщив, что некоторые USB-накопители, поставляемые вместе с продуктами IBM Storwize, заражены вредоносным ПО.

USB-накопитель содержит средство инициализации для IBM Storwize, крупной системы хранения данных (стоечной системы дисков) для центров обработки данных.

Слева: заражённый USB-накопитель, справа: IBM Storwize

Заводской номер зараженных флеш-накопителей — 01AC585. IBM уточняет, что эти USB-накопители поставляются с такими продуктами, как:

• IBM Storwize V3500-2071, модели 02A и 10A;
• IBM Storwize V3700-2072, модели 12C, 24C и 2DC;
• IBM Storwize V5000-2077, модели 12C и 24C;
• IBM Storwize V5000-2078, модели 12C и 24C.

Как утверждает IBM, ни система хранения данных IBM Storwize, ни хранящиеся в этих системах данные не заражены вредоносным кодом.

Более того, эта проблема не затрагивает флеш-накопители USB, используемые для управления ключами шифрования, которые также поставляются с оборудованием Storwize.

Вредоносный код копируется, но не выполняется

Согласно данным IBM, когда пользователи запускают средство инициализации IBM Storwize, вредоносный код копируется вместе с остальной частью инструмента на пользовательское устройство. Вот путь, по которому копируются эти данные:

• На Windows: %TMP%\initTool;
• На Linux и Mac: /tmp/initTool.

IBM сообщает, что вредоносный код только копируется, но не выполняется. Компания не уточняет природу вредоносного кода или детали его появления на флеш-накопителях, но, основываясь на текущих находках антивирусных инструментов, это может быть обычный загрузчик вредоносных программ.

MD5-хэш вредоносного файла — 0178a69c43d4c57d401bf9596299ea57, и большинство поставщиков антивирусных программ уже обнаруживают его под разными именами.

IBM рекомендует отформатировать USB-накопители

Если вы обладатель данного флэш-накопителя и уже использовали его, то вот что рекомендуется сделать:

1. Убедитесь, что ваш антивирус обновлен до последней версии, может сканировать временные директории и может решать выявленные проблемы. Если все так, то он скорее всего уже удалил вредоносный файл. Если нет, то сделайте это самостоятельно, удалив временные разделы: %TMP%\initTool на Windows и /tmp/initTool на Linux и Mac.
2. В случае с Windows убедитесь, что директория удалена окончательно, а не перенесена в Корзину. Это можно сделать, нажав Shift → Правая кнопка мыши → Удалить раздел.

Далее вы должны предпринять один из следующих шагов — их должны сделать и те, кто не использовал флэш-накопители для инициализации:

1. Безопасно уничтожьте флешку.
2. Почините ее (для тех, кому не лень):После удаления вредоносного кода с зараженных устройств, отформатируйте флэш-накопитель.Скачайте безопасную копию средства инициализации Storwize.Разархивируйте ее содержимое на исходный USB-накопитель.Просканируйте флешку антивирусом.