SIKKERHET

IBM advarer om infiserte USB-pinner

Verktøy levert sammen med lagringssystemer inneholder skadevare.

Flere av IBMs lagringssystemer i Storwize-serien er levert med en infisert USB-pinne.
Flere av IBMs lagringssystemer i Storwize-serien er levert med en infisert USB-pinne. Bilde: IBM, fotofikling av digi.no
2. mai 2017 - 14:11

Det er påvist ondsinnet kode i et administrasjonsverktøy på minnepinner som følger med IBMs rackbaserte lagringssystem Storwize.

Produktseriene V3500, V3700 og V5000 Gen 1 er berørt. USB-enhetene som er infisert er merket med delnummeret 01AC585, opplyser IBM.

Trojaneren blir kopiert inn til et midlertidig filområde når administrasjonsverktøyet startes fra USB-pinnen, men selskapet understreker at trojaneren ikke blir startet opp i denne prosessen.

Den aktuelle skadevaren er en Windows-trojaner som er kjent under ulike navn. Trusselen fanges opp av de fleste antivirusløsninger:

Engine Signature Version Update
AhnLab-V3 Win32/Pondre 3.8.3.16811 20170330
ESET-NOD32 Win32/TrojanDropper.Agent.PYF 15180 20170331
Kaspersky Trojan.Win32.Reconyc.hvow 15.0.1.13 20170331
McAfee PWSZbot-FIB!0178A69C43D4 6.0.6.653 20170331
McAfee-GW-Edition PWSZbot-FIB!0178A69C43D4 v2015 20170331
Microsoft VirTool:Win32/Injector.EG 1.1.13601.0 20170331
Qihoo-360 Virus.Win32.WdExt.A 1.0.0.1120 20170331
Symantec W32.Faedevour!inf 1.2.1.0 20170330
Tencent Trojan.Win32.Daws.a 1.0.0.1 20170331
TrendMicro PE_WINDEX.A 9.740.0.1012 20170331
TrendMicro-HouseCall PE_WINDEX.A 9.900.0.1004 20170331
ZoneAlarm Trojan.Win32.Reconyc.hvow 1 20170331

Den ligger altså uvirksom på harddisken, men bør slettes. Filen blir kopiert inn til en mappe %TMP%\initTool på Windows-systemer eller /tmp/initTool på Linux og Mac-systemer.

Det er uklart hvordan eller hvor i verdikjeden minnepinnene er blitt smittet.

InitTool som verktøyet heter har funksjoner for blant annet å sette opp nye lagringssystemer eller tilbakestille passord for en superbruker.

IBM anbefaler berørte kunder om å enten destruere USB-pinnen eller formattere enheten. Ny programvare kan deretter lastes ned fra selskapets nettsider.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.