安全研究人員發現了一種令人不寒而慄的全球電腦流行病：一種古老的惡意軟體多年來一直在不受控制地傳播。儘管其創建者似乎在幾年前就放棄了這個項目，但這個陰險的USB 蠕蟲病毒一直存在，並持續感染全球數百萬台新機器。

該蠕蟲作為臭名昭著的PlugX 惡意軟體的新變種，於2019 年首次出現在人們的視野中。它可以自動將自己複製到連接到受感染機器的任何USB 驅動器上，從而搭便車感染新的計算機，而無需任何用戶互動。

但不知何時，駭客放棄了惡意軟體的命令控制伺服器，從根本上切斷了他們對受感染機器的監控能力。人們可能會認為這就是這個討厭的蠕蟲病毒的終點，但事實並非如此。

安全公司Sekoia的研究人員決定進行一些數位研究，並購買了最初用於控制蠕蟲的廢棄IP 位址。令他們驚訝的是，他們發現該蠕蟲病毒仍然生機勃勃，他們的伺服器每天都會收到來自9 萬到10 萬個獨立IP 位址的連線。在6 個月的時間裡，他們統計了250 萬個試圖與主控端連結的獨立IP。

值得注意的是，IP 位址並不總是準確地代表受感染系統的總數，因為有些IP 可能被多個裝置共享，或者電腦可能使用動態IP。但是，巨大的流量表明，這種蠕蟲病毒已經廣泛傳播，可能感染全球數百萬台機器。

更耐人尋味的是，研究人員發現約有15 個國家感染了80% 以上的病毒。而這些國家並不是隨意挑選的，其中許多國家都具有重要的戰略意義，並有中國大量的基礎設施投資，這讓研究人員猜測，該蠕蟲病毒可能是中國針對特定地區的數據收集行動。

Sekoia 指出：”這種蠕蟲病毒的開發是為了在各國收集與’一帶一路’倡議相關的戰略和安全問題的情報，主要是關於其海洋和經濟方面的情報，儘管這一點還不能確定，但這是說得通的。

值得慶幸的是，研究人員確實發現了一個潛在的解決方案：一個命令可以清除受感染機器上的惡意軟體，甚至還能清理消毒過程中連接的任何USB 驅動器。不過，出於法律上的考慮，他們決定不採取單方面行動，而是與受影響國家的相關當局聯繫，向他們提供數據，讓他們做出決定。

研究人員寫道：”考慮到開展大規模消毒活動可能帶來的法律挑戰，其中涉及向我們並不擁有的設備發送任意命令，我們決定推遲清理，由各國的國家計算機應急小組(CERT)、執法機構(LEA) 和網路安全當局自行決定。

閱讀報告全文：

https://blog.sekoia.io/unplugging-plugx-sinkholing-the-plugx-usb-worm-b​​otnet