数以百万计的设备仍易受PlugX USB蠕虫影响 感染集中在特定国家

该蠕虫作为臭名昭著的 PlugX 恶意软件的一个新变种，于 2019 年首次出现在人们的视野中。它可以自动将自己复制到连接到受感染机器的任何 USB 驱动器上，从而搭便车感染新的计算机，而无需任何用户交互。

但不知何时，黑客放弃了恶意软件的命令控制服务器，从根本上切断了他们对受感染机器的监控能力。人们可能会认为这就是这个讨厌的蠕虫病毒的终点，但事实并非如此。

安全公司Sekoia的研究人员决定进行一些数字研究，并购买了最初用于控制蠕虫的废弃 IP 地址。令他们惊讶的是，他们发现该蠕虫病毒仍然生机勃勃，他们的服务器每天都会收到来自 9 万到 10 万个独立 IP 地址的连接。在 6 个月的时间里，他们统计了 250 万个试图与主控端联系的独立 IP。

值得注意的是，IP 地址并不总是准确地代表受感染系统的总数，因为有些 IP 可能被多个设备共享，或者计算机可能使用动态 IP。但是，巨大的流量表明，这种蠕虫病毒已经广泛传播，可能感染全球数百万台机器。

更耐人寻味的是，研究人员发现约有 15 个国家感染了 80% 以上的病毒。而且这些国家并不是随意挑选的，其中许多国家都具有重要的战略意义，并有中国大量的基础设施投资，这让研究人员猜测，该蠕虫病毒可能是中国针对特定地区的数据收集行动。

Sekoia 指出："这种蠕虫病毒的开发是为了在各国收集与'一带一路'倡议相关的战略和安全问题的情报，主要是关于其海洋和经济方面的情报，尽管这一点还不能确定，但这是说得通的。"

值得庆幸的是，研究人员确实发现了一个潜在的解决方案：一个命令可以清除受感染机器上的恶意软件，甚至还能清理消毒过程中连接的任何 USB 驱动器。不过，出于法律方面的考虑，他们决定不采取单方面行动，而是与受影响国家的相关当局联系，向他们提供数据，让他们作出决定。

研究人员写道："考虑到开展大范围消毒活动可能带来的法律挑战，其中涉及向我们并不拥有的设备发送任意命令，我们决定推迟清理，由各国的国家计算机应急小组 (CERT)、执法机构 (LEA) 和网络安全当局自行决定。"

阅读报告全文：

https://blog.sekoia.io/unplugging-plugx-sinkholing-the-plugx-usb-worm-botnet/