近日，網絡安全公司Sekoia發現蠕蟲病毒PlugX的新變種已經在全球範圍感染了超過250萬台主機。

老牌惡意軟件藏身U盤

PlugX是有著十多年曆史的老牌惡意軟件（蠕蟲病毒），最早可追溯到2008年，最初只被亞洲的黑客組織使用，主要針對政府、國防、技術和政治組織。2015年發生代碼泄露後，PlugX被改造成大衆化的流行黑客工具，被全球網絡犯罪分子廣泛使用，其中一些黑客組織將其與數字簽名軟件結合，用于實施側加載加密的攻擊載荷。

PlugX的最新變種增加了蠕蟲組件，可通過U盤感染物理隔離系統。2023年派拓網絡公司（PaloAltoNetwork）的Unit42團隊在響應BlackBasta勒索軟件攻擊時，在VirusTotal掃描平台上發現了PlugX的一個新變種可通過U盤傳播，並能將目標敏感文件隱藏在U盤中。

2023年3月，Sophos也報告了這種可通過USB自我傳播的PlugX新變種，並稱其已經“傳播了半個地球”。

全球250萬台主機中招，中美都是重災區

六個月前，Seqoia的研究人員發現了一個被黑客廢棄的PlugX惡意軟件變種（Sinkhole）的命令和控制(C2)服務器。

在Seqoia聯系托管公司並請求控制IP後，研究人員花費7美元獲取了該服務器的IP地址45.142.166.xxx，並使用該IP獲得了對服務器的shell訪問權限。

分析人員設置了一個簡單的Web服務器來模仿原始C2服務器的行爲，捕獲來自受感染主機的HTTP請求並觀察流量的變化。

C2服務器的操作記錄顯示，每天有9-10萬個主機發送請求，六個月內全球有近250萬個獨立IP連接到該服務器（下圖）：

研究人員發現，PlugX已傳播到全球170個國家，但集中度較高，15個國家占感染總數的80%以上，其中尼日利亞、印度、中國、伊朗、印度尼西亞、英國、伊拉克和美國是重災區。

研究人員強調，由于被廢棄的PlugXC2服務器沒有唯一標識符，這導致受感染主機的統計數字可能並不十分准確，因爲：

兩種殺毒方法

Sekoia建議各國網絡安全團隊和執法機構采取兩種殺毒方法。

第一種方法是發送PlugX支持的自刪除命令，該命令應將其從計算機中刪除，而無需執行其他操作。但需要注意的是，因爲PlugX新變種可通過USB設備傳播，第一種方法無法清除這些“離線”病毒。即使從主機中刪除了惡意軟件，仍然存在重新感染的風險。

第二種方法較爲複雜，需要在受感染的計算機上開發和部署自定義有效負載，從系統以及與其連接的受感染USB驅動器中刪除PlugX。

Sekoia還向各國國家計算機緊急響應小組(CERT)提供了執行“主權消毒”所需的信息。

參考連接：

https://blog.sekoia.io/unplugging-plugx-sinkholing-the-plugx-usb-worm-botnet/