IBM en Lenovo waarschuwen klanten dat er usb-sticks zijn geleverd die malware bevatten. Het gaat om usb-sticks voor de installatie van IBM Storwize-systemen. Hoewel de malware wordt gekopieerd naar de computer, wordt deze volgens de fabrikanten niet uitgevoerd.
Het gaat om malware die in 2015 door Kaspersky werd ontdekt en aangeduid wordt als Trojan.Win32.Recoync. De malware was destijds vooral in Rusland actief en is in staat om wijzigingen door te voeren in het register, bestanden te wijzigen en andere malware te installeren.
Als gebruikers de door IBM en Lenovo verstuurde usb-sticks gebruiken om hun Storwize-apparaat te initialiseren, wordt de tool gekopieerd naar de lokale schijf. Bij Windows-systemen komt de malware terecht in de map %TMP%\initTool en bij Linux- en Mac-systemen is dat /tmp/initTool.
Volgens de bedrijven wordt de malware enkel gekopieerd, maar niet uitgevoerd. Alleen als een gebruiker deze handmatig zou uitvoeren zou de malware actief worden. Het geïnfecteerde bestand beïnvloedt de werking van de Storwize-systemen niet volgens IBM en Lenovo.
Het is niet duidelijk hoe de malware op de usb-sticks terecht is gekomen. In hun mededelingen geven IBM en Lenovo daarover geen uitleg. Beide bedrijven stuurden dezelfde usb-sticks, die te herkennen zijn aan het onderdeelnummer 01AC585. De sticks zijn bedoeld voor de initialisatie van de IBM Storwize V3500, V3700 en V5000. Dat zijn professionele nas-apparaten.
Verschillende antiviruspakketten herkennen de malware. IBM heeft een lijst opgesteld met pakketten die de malware herkennen en hoe zij de malware aanduiden. De fabrikanten raden gebruikers aan om de map te verwijderen en de usb-stick te vernietigen of ook daarvan de data te verwijderen. De fabrikanten zeggen maatregelen genomen te hebben zodat nieuwe usb-sticks de malware niet meer bevatten.
Engine | Signature | Versie | Update |
AhnLab-V3 | Win32/Pondre | 3.8.3.16811 | 20170330 |
ESET-NOD32 | Win32/TrojanDropper.Agent.PYF | 15180 | 20170331 |
Kaspersky | Trojan.Win32.Reconyc.hvow | 15.0.1.13 | 20170331 |
McAfee | PWSZbot-FIB!0178A69C43D4 | 6.0.6.653 | 20170331 |
McAfee-GW-Edition | PWSZbot-FIB!0178A69C43D4 | v2015 | 20170331 |
Microsoft | VirTool:Win32/Injector.EG | 1.1.13601.0 | 20170331 |
Qihoo-360 | Virus.Win32.WdExt.A | 1.0.0.1120 | 20170331 |
Symantec | W32.Faedevour!inf | 1.2.1.0 | 20170330 |
Tencent | Trojan.Win32.Daws.a | 1.0.0.1 | 20170331 |
TrendMicro | PE_WINDEX.A | 9.740.0.1012 | 20170331 |
TrendMicro-HouseCall | PE_WINDEX.A | 9.900.0.1004 | 20170331 |
ZoneAlarm | Trojan.Win32.Reconyc.hvow | 1 | 20170331 |
Overzicht van antivirusprogramma's en hoe zij de malware die op de usb-sticks staat aanduiden