IBM n'a pas déclaré d'où provient ce malware qui est présent dans les clés USB vierges. Il se pourrait qu'il ait été installé directement dans l'usine, ce ne serait pas une première.
Quatre modèles de clés USB infectés par un cheval de Troie
IBM a lancé l'alerte mardi 2 mai 2017 et a immédiatement arrêté la distribution des clés USB infectées mais, malheureusement, plusieurs unités seraient actuellement dans les mains de particuliers et professionnels. Voici la liste fournie par IBM sur son site officiel.Sont infectées les clés USB avec le numéro 01AC585 et correspondant à ces modèles :
IBM Storwize V3500 - 2071 models 02A et 10A
IBM Storwize V3700 - 2072 models 12C, 24C et 2DC
IBM Storwize V5000 - 2077 models 12C et 24C
IBM Storwize V5000 - 2078 models 12C et 24C
Les modèles avec les numéros de série commençant par 78D2 ne seraient pas concernés selon le constructeur.
Les clés en question ressemblent à celle-ci (photo fournie par IBM)
Un cheval de Troie repéré par les antivirus
Selon les informations fournies par IBM, le malware qui est présent sur certaines de ces clés USB, se trouve dans le fichier temporaire "initTool". Le groupe conseille de procéder à la destruction de la clé USB infectée et de réaliser une analyse antivirus si jamais elle a été utilisée : le malware est automatiquement copié sur le disque dur de l'utilisateur bien qu'il semblerait qu'il ne s'exécute pas de manière automatique.Le malware serait un cheval de Troie de la famille des Reconyc Trojan. Identifié en 2015 et visant essentiellement l'Inde et la Russie, il est tout de même présent un peu partout dans le monde. Les antivirus sont, si la base de données virale est à jour, en mesure de le détecter.