近日，IBM公司发布安全公告指出，该公司不小心将一些感染恶意程序的USB驱动器寄给了用户，这些USB驱动器中包含了部分 Storwize 系统的初始化工具。

IBM公司误投了一批“有毒”的USB驱动器

感染恶意程序的USB驱动器型号为 01AC585，IBM 建议收到该型号的USB驱动器的客户将其销毁或不要再重复使用，或者按照安全公告中列出的步骤进行修复。受影响的设备及型号如下所示：

IBM Storwize V3500 – 2071型号02A和10A机型；
IBM Storwize V3700 – 2072型号12C、24C和2DC机型；
IBM Storwize V5000 – 2077型号12C和24C机型；
IBM Storwize V5000 – 2078型号12C和24C机型；

如果Storwize系统上的序列号以78D2开头，则应该不会受此问题的影响。

那么，受感染的设备会对系统造成什么危害呢？IBM安全公告指出，

当Storwize系统的初始化工具在USB驱动器中启动时，该工具会在正常操作期间，将自身复制到台式机或笔记本电脑的硬盘驱动器上的临时文件夹中。

IBM安全公告进一步说道，随后，该恶意文件会被复制到Windows上的临时文件夹％TMP％ initTool中或Linux/Mac上的/tmp/initTool中。需要着重强调的是，当文件被复制到机器上时，恶意程序不会在初始化过程中执行。

据Danny Palmer报道称，该恶意软件被卡巴斯基实验室归列为Reconyc木马家族成员，这种木马家族主要流行于俄罗斯和印度。

关于Reconyc木马家族

在2016年恶意代码家族数量Top10排行榜中，Reconyc木马家族位居第七，这种恶意软件更像一个广告程序，因为它的主要功能是弹出广告、浏览器重定向、添加浏览器工具栏或插件。

解决方案

IBM建议接收到相关型号USB驱动器的客户，将其销毁或不要再重复使用。但是，如果用户已经插入了USB驱动器并运行了初始化工具，IBM建议尽快使用最新版的防病毒软件，并对系统进行扫描。或者，用户还可以通过手动方式删除上面列出的临时目录来移除恶意文件。

需要说明的是，这已经不是IBM公司第一次向用户分发受感染的USB驱动器了。早在2010年于澳大利亚举办的AusCERT会议上，该公司就向参与展会的与会者发放了感染恶意软件的免费USB驱动器。