蠕虫爆发，PlugX 新变种感染 250 万主机【含查杀方法】

近日，网络安全公司 Sekoia 发现蠕虫病毒 PlugX 的新变种已经在全球范围感染了超过 250 万台主机。

老牌恶意软件藏身U盘

PlugX 是有着十多年历史的老牌恶意软件（蠕虫病毒），最早可追溯到 2008 年，最初只被亚洲的黑客组织使用，主要针对政府、国防、技术和政治组织。2015 年发生代码泄露后，PlugX 被改造成大众化的流行黑客工具，被全球网络犯罪分子广泛使用，其中一些黑客组织将其与数字签名软件结合，用于实施侧加载加密的攻击载荷。

PlugX 的最新变种增加了蠕虫组件，可通过 U 盘感染物理隔离系统。2023 年派拓网络公司（PaloAltoNetwork）的 Unit42 团队在响应 BlackBasta 勒索软件攻击时，在 VirusTotal 扫描平台上发现了PlugX 的一个新变种可通过 U 盘传播，并能将目标敏感文件隐藏在 U 盘中。

2023 年 3 月，Sophos 也报告了这种可通过 USB 自我传播的 PlugX 新变种，并称其已经“传播了半个地球”。

全球 250万台主机中招，中美都是重灾区

六个月前，Seqoia 的研究人员发现了一个被黑客废弃的 PlugX 恶意软件变种（Sinkhole）的命令和控制(C2)服务器。

在 Seqoia 联系托管公司并请求控制 IP 后，研究人员花费 7 美元获取了该服务器的 IP 地址 45.142.166.xxx ，并使用该 IP 获得了对服务器的 shell 访问权限。

分析人员设置了一个简单的 Web 服务器来模仿原始 C2 服务器的行为，捕获来自受感染主机的 HTTP 请求并观察流量的变化。

C2 服务器的操作记录显示，每天有 9-10 万个主机发送请求，六个月内全球有近 250 万个独立 IP 连接到该服务器（下图）：

研究人员发现，PlugX 已传播到全球 170 个国家，但集中度较高，15 个国家占感染总数的 80% 以上，其中尼日利亚、印度、中国、伊朗、印度尼西亚、英国、伊拉克和美国是重灾区。

研究人员强调，由于被废弃的 PlugXC2 服务器没有唯一标识符，这导致受感染主机的统计数字可能并不十分准确，因为：

1. 许多受感染的工作站可以通过相同的 IP 地址连接
2. 由于采用动态 IP 寻址，一个受感染系统可以连接多个 IP 地址
3. 许多连接是通过 VPN 服务进行的，这可能使来源国家/地区的数据失真

两种杀毒方法

Sekoia 建议各国网络安全团队和执法机构采取两种杀毒方法。

第一种方法是发送 PlugX 支持的自删除命令，该命令应将其从计算机中删除，而无需执行其他操作。但需要注意的是，因为 PlugX 新变种可通过 USB 设备传播，第一种方法无法清除这些“离线”病毒。即使从主机中删除了恶意软件，仍然存在重新感染的风险。

第二种方法较为复杂，需要在受感染的计算机上开发和部署自定义有效负载，从系统以及与其连接的受感染 USB 驱动器中删除 PlugX。

Sekoia 还向各国国家计算机紧急响应小组(CERT)提供了执行“主权消毒”所需的信息。

转自GoUpSec，原文链接：https://www.goupsec.com/news/16239.html