所有分类 > 病毒与安全 > 漏洞与防护 > 用于Lenovo初始化的IBM Storwize USB驱动器含恶意软件

用于Lenovo初始化的IBM Storwize USB驱动器含恶意软件

. 1494538343 | 知识编号: 158158

故障现象:

Lenovo 安全公告:LEN-14957


潜在影响:对用于启动初始化工具的系统造成恶意软件感染


严重性


摘要描述:


带有 IBM Storwize(用于 IBM 生产的 Lenovo V3500、V3700 和 V5000 第一代存储系统)附带的初始化工具的某些 USB 闪存驱动器含有被恶意代码感染的文件。恶意文件不会以任何方式影响存储系统的完整性或性能。


初始化工具从 USB 闪存驱动器启动到计算机用于初始配置,该工具会在正常操作时将自己复制到台式计算机或笔记本电脑硬盘驱动器的临时文件夹内。通过这一步,恶意文件也会随初始化工具复制到以下临时文件夹:


Windows 系统:%TMP%\initTool


Linux 和 Mac 系统:/tmp/initTool


重要说明:虽然恶意文件被复制到计算机中,但此文件不会在初始化期间被执行和运行,除非用户手动执行此文件。受感染的文件不会影响用于 Lenovo 系统的 IBM Storwize。初始化工具只用于向 U 盘写入文本文件,然后由 Storwize 读取,然后再将单独的文本文件写入到 U 盘。在将 U 盘插入到 Storwize 系统的过程中,没有任何信息会从 U 盘直接复制到 Storwize 系统,也没有任何代码会在 Storwize 系统上执行。


受影响的初始化 USB 闪存驱动器看上去与下图相似,包含名为 InitTool 的文件夹。


http://download.lenovo.com/km/media/images/PS500103/top%20of%20drive_20170426204448.JPG


http://download.lenovo.com/km/media/images/PS500103/side%20of%20drive_20170426204501.JPG


IBM 与 Lenovo 已经采取措施防止任何其他具有此问题的 USB 闪存驱动器再发货。


解决方案:

应采取哪些措施进行自我保护:


Lenovo 建议客户销毁受影响的闪存驱动器。这些驱动器只用于 Storwize 系统的初始设置,如果您尚未配置 Storwize,Lenovo 建议您联系 Lenovo 支持部门进行更换,或按照以下步骤重新格式化驱动器。


如果您使用了上述其中一款产品的初始化 USB 闪存驱动器,并将其插入到计算机来初始化 Storwize 系统,Lenovo 建议您确认您的反病毒软件是否已经删除了受感染的文件,或者使用下述方法删除包含发现的恶意文件的目录。


Lenovo 建议您确保反病毒产品是最新版本,并配置为扫描临时目录,并确保已解决反病毒产品发现的问题。


若要手动删除恶意文件,应删除临时目录:


Windows 系统:%TMP%\initTool


Linux 和 Mac 系统:/tmp/initTool


此外,对于 Windows 系统,应确保删除整个目录(不是只移到“回收站”文件夹)。这可以通过以下方法完成:按 Shift->右键单击->删除目录。


另外,对于初始化工具 USB 闪存驱动器(包括尚未用于安装的),Lenovo 建议采取以下其中一个步骤:


1、安全销毁 USB 闪存驱动器以防止再次使用,联系 Lenovo 支持部门,要求其为您发送新的 USB 驱动器。


2、维修 USB 闪存驱动器以便再次使用:


(1)删除 USB 闪存驱动器中名为 InitTool 的文件夹,这将删除此文件夹及文件夹内的所有文件。


如果使用的是 Windows 机器,删除此文件夹时按住 Shift 将确保文件会被永久删除,而不是复制到回收站。


(2)从 Lenovo 支持网站 https://www.lenovo.com/support/ 下载初始化工具包


(3)将工具包解压到 USB 闪存驱动器。


(4)使用反病毒软件手动扫描 USB 闪存驱动器。


产品影响:


以下系统型号附带的部件号为 01AC585 的 USB 闪存驱动器内的初始化工具可能包含受感染的文件:


-用于 Lenovo V3500 - 6096 型号 02A 和 10A 的 IBM Storwize


-用于 Lenovo V3700 - 6099 型号 12C、24C 和 2DC 的 IBM Storwize


-用于 Lenovo V5000 - 6194 型号 12C 和 24C 的 IBM Storwize


序列号以字符 78D2 开头的用于 Lenovo 系统的 IBM Storwize 未受影响。


用于 Lenovo 存储系统的 IBM Storwize 以及这些系统中存储的数据均未被此恶意代码感染。


以上列出的系统以及用于加密密钥管理的 USB 闪存驱动器未受此问题影响。


其他信息和参考资料:


恶意文件包含 MD5 哈希值 0178a69c43d4c57d401bf9596299ea57。


此恶意文件由以下反病毒产品供应商检测发现:


引擎

签名

版本

更新

AhnLab-V3

Win32/Pondre

3.8.3.16811

20170330

ESET-NOD32

Win32/TrojanDropper.Agent.PYF

15180

20170331

Kaspersky

Trojan.Win32.Reconyc.hvow

15.0.1.13

20170331

McAfee

PWSZbot-FIB!0178A69C43D4

6.0.6.653

20170331

McAfee-GW-Edition

PWSZbot-FIB!0178A69C43D4

v2015

20170331

Microsoft

VirTool:Win32/Injector.EG

1.1.13601.0

20170331

奇虎 360

Virus.Win32.WdExt.A

1.0.0.1120

20170331

Symantec

W32.Faedevour!inf

1.2.1.0

20170330

腾讯

Trojan.Win32.Daws.a

1.0.0.1

20170331

TrendMicro

PE_WINDEX.A

9.740.0.1012

20170331

TrendMicro-HouseCall

PE_WINDEX.A

9.900.0.1004

20170331

ZoneAlarm

Trojan.Win32.Reconyc.hvow

1

20170331


点击此处查看IBM 闪存客户通知。


要获得所有 Lenovo 产品安全公告的完整列表,请单击此处


修订历史:


修订版本

日期

描述

1

04/27/2017

初始版本


最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供,我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。

                 

联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。