Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

IBM en Lenovo leverden usb-sticks met malware aan Storwize-klanten

Door , 37 reacties, submitter: AnonymousWP

IBM en Lenovo waarschuwen klanten dat er usb-sticks zijn geleverd die malware bevatten. Het gaat om usb-sticks voor de installatie van IBM Storwize-systemen. Hoewel de malware wordt gekopieerd naar de computer, wordt deze volgens de fabrikanten niet uitgevoerd.

Usb-stick met malwareHet gaat om malware die in 2015 door Kaspersky werd ontdekt en aangeduid wordt als Trojan.Win32.Recoync. De malware was destijds vooral in Rusland actief en is in staat om wijzigingen door te voeren in het register, bestanden te wijzigen en andere malware te installeren.

Als gebruikers de door IBM en Lenovo verstuurde usb-sticks gebruiken om hun Storwize-apparaat te initialiseren, wordt de tool gekopieerd naar de lokale schijf. Bij Windows-systemen komt de malware terecht in de map %TMP%\initTool en bij Linux- en Mac-systemen is dat /tmp/initTool.

Volgens de bedrijven wordt de malware enkel gekopieerd, maar niet uitgevoerd. Alleen als een gebruiker deze handmatig zou uitvoeren zou de malware actief worden. Het geïnfecteerde bestand beïnvloedt de werking van de Storwize-systemen niet volgens IBM en Lenovo.

Het is niet duidelijk hoe de malware op de usb-sticks terecht is gekomen. In hun mededelingen geven IBM en Lenovo daarover geen uitleg. Beide bedrijven stuurden dezelfde usb-sticks, die te herkennen zijn aan het onderdeelnummer 01AC585. De sticks zijn bedoeld voor de initialisatie van de IBM Storwize V3500, V3700 en V5000. Dat zijn professionele nas-apparaten.

Verschillende antiviruspakketten herkennen de malware. IBM heeft een lijst opgesteld met pakketten die de malware herkennen en hoe zij de malware aanduiden. De fabrikanten raden gebruikers aan om de map te verwijderen en de usb-stick te vernietigen of ook daarvan de data te verwijderen. De fabrikanten zeggen maatregelen genomen te hebben zodat nieuwe usb-sticks de malware niet meer bevatten.

Engine Signature Versie Update
AhnLab-V3 Win32/Pondre 3.8.3.16811 20170330
ESET-NOD32 Win32/TrojanDropper.Agent.PYF 15180 20170331
Kaspersky Trojan.Win32.Reconyc.hvow 15.0.1.13 20170331
McAfee PWSZbot-FIB!0178A69C43D4 6.0.6.653 20170331
McAfee-GW-Edition PWSZbot-FIB!0178A69C43D4 v2015 20170331
Microsoft VirTool:Win32/Injector.EG 1.1.13601.0 20170331
Qihoo-360 Virus.Win32.WdExt.A 1.0.0.1120 20170331
Symantec W32.Faedevour!inf 1.2.1.0 20170330
Tencent Trojan.Win32.Daws.a 1.0.0.1 20170331
TrendMicro PE_WINDEX.A 9.740.0.1012 20170331
TrendMicro-HouseCall PE_WINDEX.A 9.900.0.1004 20170331
ZoneAlarm Trojan.Win32.Reconyc.hvow 1 20170331

Overzicht van antivirusprogramma's en hoe zij de malware die op de usb-sticks staat aanduiden

Door Julian Huijbregts

Nieuwsredacteur

03-05-2017 • 13:36

37 Linkedin Google+

Submitter: AnonymousWP

Reacties (37)

Wijzig sortering
Ik heb met vele V5000 systemen gewerkt en het is prima storage zeker als je ze aan een P-Serie hangt. De USB stick wordt meegeleverd met een programma waarmee je de eerste settings van het systeem worden geconfigureerd. Daarna stop je de usb stick in het apperaat bij first boot en hij gebruikt die settings file dan om je systeem te initialiseren.
Het programma dat hier genoemd wordt en gecopieerd wordt is het settings programma zelf. Dus je bent altijd verplicht om dit te draaien. Als hij wordt opgestart wordt hij autmoatisch eerst naar lokale disk gestuurd (dit wordt ook vermeld) en daarna opgestart vanaf disk.

Dus in tegenstelling tot het artikel is het "copieren" een verplichte stap. Dit verbaasde me altijd al maar is nu wel dubieus. Ook mijn virusscanner (symatec) of eigenlijk bedrijfsscanner heeft hem nooit op linux gedetecteerd. Wel had ik altijd wat problemen met de X initialisatie waardoor ik vaak gewoon na de eerste keer de init file manueel aanpaste.
Zeer slordig van IBM en ik denk dat dit ze nog wel lang zullen horen. Zeker ook omdat IBM groot leverancier zijn bij banken, defensie en aerospace industrie.

Wel grappig is dat 2 van deze sticks nu in mijn testlab vmware draaien (VMWare on a stick)
Weinig virusscanners ontdekken de malware zeg. Hoe de fuck kan je dit installeren op een usb die je gaat versturen... Slechte zaak.
Dit gebeurt vaker dan je denkt. Het infecteren van hardware al in de fabriek is lucratieve business. Dit bewijst trouwens ook weer eens dat de veelgehoorde stelling "ik hoef geen virusscanner want ik weet zelf wel wat ik doe" geen hout snijdt. Je kunt simpelweg niet meer uitgaan van schone installatiebronnen. Zo zijn er in het verleden ook al eens geÔnfecteerde MP3 spelers verkocht en zelfs officiŽle installatie cd's van software welke al in de fabriek geÔnfecteerd waren.

Hier bijvoorbeeld een voorbeeld uit 2005: nieuws: Creative levert mp3-spelers met Windows-virus
Nog een voorbeeld uit 2007: nieuws: Virus aangetroffen op externe Maxtor-hardeschijven - Update

[Reactie gewijzigd door Bor op 3 mei 2017 14:46]

Ik dnek zelfs aan de rootkit van Sony begin jaren 2000
In het verleden al (begin jaren 90) werden er regelmatig van die shareware cd's verkocht waar virussen opstonden.
Zelf heb ik het meegemaakt bij Vobis intertijd dat er de nodige cd's stijf stonden en hebben we besloten de verkoop van shareware cd's volledig te stoppen.

erg jofel klanten die uhm... "niet zo blij" waren en met hun pc prive projekt geval aan de balie stonden met een gewist bios en dat soort grappen meer.
En corsair in 2008 ook een virus op allebei mijn nieuwe survivor memory sticks. Goed gekozen produktnaam ;)

http://forum.corsair.com/v3/showthread.php?t=66605
Slecht voorbeeld. Verschillende virusscanners pikken dit virus er niet uit, maar Windows wel ;) . Je kan dus beter gebruik maken van windows defender.
Totaal irrelevant. Windows Defender is ook een virusscanner (welke in de lijn minder presteert dan de top 5 uit de bekendere tests) en bovendien detecteren andere scanners deze ook. Als je het voorbeeld slecht vind zou je moeten vergelijken tussen wel een virusscanner of geen virusscanner, dus ook geen Defender.
Slecht gecontroleerde productiesystemen...
Dus tijdens het productieproces bedenkt iemand oh ik doe er een virus bij.
Wie weet werd hij daar door een voor derde partij betaald. Alleen heeft hij het niet goed gedaan gezien hij niet automatisch actief word.

Of iemand die aan de software werkte heeft wat zaken op zijn PC gedaan die niet de bedoeling waren en vervolgens ingecheckt in wat naar de productie is gegaan. Toch vaag dat er nergens een virus scanner af gaat. Of ze gebruiken er een die hem niet vind.
Je zegt:
Alleen heeft hij het niet goed gedaan gezien hij niet automatisch actief word.
In het artikel staat:
Volgens de bedrijven wordt de malware enkel gekopieerd, maar niet uitgevoerd. Alleen als een gebruiker deze handmatig zou uitvoeren zou de malware actief worden.
Cow_koetje zegt echter:
Het programma dat hier genoemd wordt en gecopieerd wordt is het settings programma zelf. Dus je bent altijd verplicht om dit te draaien. Als hij wordt opgestart wordt hij autmoatisch eerst naar lokale disk gestuurd (dit wordt ook vermeld) en daarna opgestart vanaf disk.
Misschien dat ik niet goed lees, maar het lijkt me uit de reactie van COW dat het opstarten een vereiste is en dus nagenoeg altijd gebeurd bij het gebruik van de stick.

[Reactie gewijzigd door densoN op 3 mei 2017 15:40]

Nog erger...hoe kan dit in een image belanden voor een hele berg usb-sticks?
Als je de sticks ergens in AziŽ (china) inkoopt en daar ook de image erop laat zetten acht ik de kans heel groot in zowel bewust als onbewust....
hmm of het was juist de bedoeling om zo lang mogelijk on opgemerkt te blijven deze malware is voor al in Rusland verspreid door een Amerikaans bedrijf .... denk daar eens over na...
Bij de naam Lenovo krijg ik de afgelopen jaren echt de kriebels met hun malware en bloodware releases. Maar dat IBM hierbij genoemd wordt, daar schrik ik toch wel van. Het feit dat ze geen uitleg geven hoe de malware op de sticks terecht zijn gekomen stemt me ook niet echt vrolijk voor de toekomst voor wat betreft IBM.
Het is ondertussen alweer wat, de 3e keer dat ontdekt wordt dat Lenovo niet helemaal koosjer bezig is?
IBM is jaren geleden al gestopt met desktop systemen, zowel pc's als laptops, onder de eigen naam. Die gaan sindsdien door het leven als Lenovo.
Intel based servers en een deel van de storage business is inmiddels ook volledig Lenovo.
Alleen Power systemen en een deel (voornamelijk high-end) storage zijn nog echt IBM.
En Lenovo produceert een deel van de spullen die nog onder de IBM brand wordt verkocht zoals deze storage en verkoopt ze ook onder eigen naam.
Hmm dat wist ik helemaal niet. Aangezien ze ook beide apart worden genoemd in dit nieuwsbericht. Maar ik weet genoeg, na Lenovo, dus ook geen IBM in de toekomst :)
Lenovo en ibm hebben een soort samenwerking, joint venture of zoiets. Als je een ibm server besteld, kan er lenovo op staan.
Ach, ondertussen weggegooid. Maar ik heb ooit een set floppen van Microsoft gekregen voor installatie van MSWORD-6 met daarop een macro-virus.
Jaren bewaard als curiosa. MS besteedt fabrikage/duplcatie van installatie floppen uit, en daar zit iemand die een zakcentje extra wil hebben.
Oja, MS was niet blij (wij ook niet, maar we zaten nog op WordPerfect, en dit was voor een testsysteem, dus geen ellende gehad).
Weer Lenovo in het nieuws met mallware.
Precies. Snap ook niet dat de elaptops en alles nog zo goed gaan. Veel consumenten weten niet dat Lenovo dit doet/heeft gedaan. Zodra ik ze spreek daarover zijn ze heel simpel: ze laten per direct Lenovo links liggen. En terecht imo
Veel consumenten weten niet dat Lenovo dit doet/heeft gedaan
Dit komt omdat de consumenten website's zoals tweakers, niet bij een product review, de security geschiedenis van een bedrijf meenemen.

Iets in de trent van Lenovo heeft de afgelopen 5jaar, 12 incidenten gehad, waarvan de laatste 3 maanden geleden. En met links naar de betreffende artikelen.

Hierdoor heeft de consument de mogelijkheid een keuze te maken op basis van veiligheid en doen de fabrikanten hopelijk beter hun best.
Aan de andere kant: de laptops zelf zijn (misschien ook wel van het IBM verleden) _erg_ prettig om mee te werken. Ik heb zelf een E540 en ben daar toch heel erg blij mee. Ik maak alleen geen gebruik van de meegeleverde Windows en andere software. Na jaren Ubuntu ben ik recent overgestapt naar Elementary (eigenlijk ook Ubuntu, maar met een andere WM)

[Reactie gewijzigd door robb_nl op 3 mei 2017 15:37]

"Clichť IBM bestaat dus nog"

Ik hoop dat dat een grap is. IBM is nog altijd een van de grootste tech bedrijven op aarde (in de Top 5)

https://www.forbes.com/companies/ibm/
Ligt het aan mij of zie ik lenovo vaak voorbij komen bij malafide gedoe?
Malafide en Lenovo beginnen langzaamaan uitwisselbare begrippen te worden.

Maar een gewaarschuwd mens telt voor twee. Vermijden die hap. Zegt het voort.
Hmm niet de eerste keer dat Lenovo betrapt wordt op het leveren van apperatuur met malware.

Superfish anyone?
Sinds wanneer is een storwize een nas?
Storage, in een netwerk.
nas.. of san..

Een in bedrijfsnetwerken toegepast apparaat. Wat het precies doet is niet zo erg belangrijk voor het nieuws item: Dat de bijgeleverde USB-sticks voor de installatie(initialisatie) besmet zijn,. dat is 't belangrijkste in dit nieuwstopic.
Het is fiber attached storage, en er is iscsi.
Maar storwize doet geen samba, dus vandaar.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*