« Si vous avez utilisé un lecteur USB d’initialisation à partir de l’un des produits répertoriés ci-dessus et que vous l’avez inséré dans un ordinateur de bureau ou un ordinateur portable pour initialiser un système Storwize, IBM vous recommande de vérifier si votre logiciel antivirus a déjà supprimé le fichier infecté, ou de supprimer le répertoire contenant le fichier malveillant », annonce IBM sur son site officiel.
Les clés USB concernées sont celles fournies avec les systèmes Storwrize V3500, V3700 et V5000 Gen 1. À l’origine, elles étaient censées contenir des outils administratifs. Reconnues par le numéro de série 01AC585, elles auraient été infectées par un cheval de Troie.
IBM a toutefois noté que celles dont le numéro de série commence par 78D2 ne sont pas concernées.
Un cheval de Troie déjà connu
Le constructeur a donc lancé l’alerte mardi dernier. La commercialisation des clés infectées a également été arrêtée.
IBM affirme ne pas connaître avec précision le moyen par lequel le malware a pu infecter les clés. Toutefois, si les produits ont directement contracté le logiciel malveillant dans l’usine, ce ne serait pas une première pour la firme. Le virus est en fait un cheval de Troie déjà présent un peu partout dans le monde. Il a été identifié en 2015.
Appartenant à la famille des Reconyc Trojan, il a été initialement conçu en Corée du Nord pour cibler l’Inde et la Russie. Il a la propriété d’être copié directement dans le disque dur de l’ordinateur, sans qu’il y ait une lecture automatique. « Lorsque l’outil d’initialisation est lancé à partir du lecteur USB, l’outil est lui-même copié dans un dossier temporaire sur le disque dur du bureau de l’ordinateur portable en fonctionnement normal », a expliqué le géant américain de l’informatique.
Faut-il détruire la clé ?
Le malware en question, qui a été conçu en 2012, a été baptisé PE.WINDEX.A. C’est un logiciel qui dispose de la capacité de télécharger et d’installer discrètement d’autres malwares sur l’ordinateur.
Dans le système d’exploitation Windows, son refuge sera le dossier temporaire %TMP%\initTool.
Big Blue recommande aux utilisateurs la destruction immédiate des clés. Le logiciel peut néanmoins être effacé par certains antivirus. Dans le cas où le produit infecté ait été connecté à l’ordinateur, il est impératif de le scanner suivant la méthode classique.
Quoi qu’il en soit, cette menace appelle à la prudence par rapport à l’utilisation de tels supports informatiques. Encore une fois.