C'est une mauvaise surprise à laquelle les responsables informatiques ayant commandé des baies de stockage Storwize d'IBM ne s'attendaient pas. La société a en effet alerté ses clients sur la présence d'un malware dans des clés USB, contenant un outil d'initialisation, proposées avec certains de ses systèmes Storwize (du nom de la société rachetée par IBM en 2010 et spécialisée dans la compression) V3500, V3700 et V5000 Gen 1. Plus précisément, la liste des produits pouvant être touchés est la suivante : V3500 modèles 20171 (02A et 10A), V3700 modèles 2072 (12C, 24C et 2DC), V5000 modèles 2077 et 2078 (12C et 24C). Les baies Storwize dont les numéros de série commencent par 78D2 ne sont pas concernés.

IBM Storwize (malware)

Le fichier malveillant détecté dans les clés USB fournis avec certains systèmes Storwize d'IBM est détecté par la plupart des anti-virus. (crédit : IBM)

Un fichier malveillant qui s'auto-installe

« IBM a identifié un fichier malveillant distribué sur des clefs USB utilisées dans l'outil d'initialisation pour les IBM Storwize V3500, V3700 et V5000 Gen 1 », a indiqué la société dans un communiqué. « Lorsque l'outil initialisation est lancé depuis la clef USB, l'outil se copie lui-même dans un fichier temporaire sur le disque dur du poste de travail ou l'ordinateur portable au cours d'une opération de routine. Lors de cette étape, le fichier malveillant est copié avec l'outil d'initialisation dans le fichier temporaire suivant : %TMP%\initTool sur les systèmes Windows et /tmp/initTool sur les systèmes Linux et Mac. » Le fichier malveillant est seulement copié mais pas exécuté, précise par ailleurs IBM. Son hash MD5 est le 0178a69c43d4c57d401bf9596299ea57.

La société recommande à ses clients de vérifier que leurs antivirus a déjà retiré le fichier infecté ou bien de l'enlever manuellement en s'assurant que le répertoire entier dans lequel il était installé soit effacé, et pas seulement déplacé dans la corbeille. D'autres conseils sont également prodigués comme la destruction de la clé pour ne pas permettre sa réutilisation ou bien de réinstaller proprement dessus l'outil d'initialisation depuis FixCentral.