数以百万计的设备仍易受PlugX USB蠕虫影响 感染集中在特定国家

2024年04月29日 22:10 次阅读 稿源:cnBeta.COM 条评论

安全研究人员发现了一种令人不寒而栗的全球计算机流行病:一种古老的恶意软件多年来一直在不受控制地传播。尽管其创建者似乎在几年前就放弃了这个项目,但这个阴险的 USB 蠕虫病毒却一直存在,并持续感染全球数百万台新机器。

2024-04-29-image-3.webp

该蠕虫作为臭名昭著的 PlugX 恶意软件的一个新变种,于 2019 年首次出现在人们的视野中。它可以自动将自己复制到连接到受感染机器的任何 USB 驱动器上,从而搭便车感染新的计算机,而无需任何用户交互。

但不知何时,黑客放弃了恶意软件的命令控制服务器,从根本上切断了他们对受感染机器的监控能力。人们可能会认为这就是这个讨厌的蠕虫病毒的终点,但事实并非如此。

安全公司Sekoia的研究人员决定进行一些数字研究,并购买了最初用于控制蠕虫的废弃 IP 地址。令他们惊讶的是,他们发现该蠕虫病毒仍然生机勃勃,他们的服务器每天都会收到来自 9 万到 10 万个独立 IP 地址的连接。在 6 个月的时间里,他们统计了 250 万个试图与主控端联系的独立 IP。

值得注意的是,IP 地址并不总是准确地代表受感染系统的总数,因为有些 IP 可能被多个设备共享,或者计算机可能使用动态 IP。但是,巨大的流量表明,这种蠕虫病毒已经广泛传播,可能感染全球数百万台机器。

更耐人寻味的是,研究人员发现约有 15 个国家感染了 80% 以上的病毒。而且这些国家并不是随意挑选的,其中许多国家都具有重要的战略意义,并有中国大量的基础设施投资,这让研究人员猜测,该蠕虫病毒可能是中国针对特定地区的数据收集行动。

Sekoia 指出:"这种蠕虫病毒的开发是为了在各国收集与'一带一路'倡议相关的战略和安全问题的情报,主要是关于其海洋和经济方面的情报,尽管这一点还不能确定,但这是说得通的。"

值得庆幸的是,研究人员确实发现了一个潜在的解决方案:一个命令可以清除受感染机器上的恶意软件,甚至还能清理消毒过程中连接的任何 USB 驱动器。不过,出于法律方面的考虑,他们决定不采取单方面行动,而是与受影响国家的相关当局联系,向他们提供数据,让他们作出决定。

研究人员写道:"考虑到开展大范围消毒活动可能带来的法律挑战,其中涉及向我们并不拥有的设备发送任意命令,我们决定推迟清理,由各国的国家计算机应急小组 (CERT)、执法机构 (LEA) 和网络安全当局自行决定。"

阅读报告全文:

https://blog.sekoia.io/unplugging-plugx-sinkholing-the-plugx-usb-worm-botnet/

对文章打分

数以百万计的设备仍易受PlugX USB蠕虫影响 感染集中在特定国家

1 (50%)
已有 条意见

    最新资讯

    加载中...

    编辑精选

    加载中...

    热门评论

      Top 10

      招聘

      created by ceallan