安全研究人员发现了一种令人不寒而栗的全球计算机流行病:一种古老的恶意软件多年来一直在不受控制地传播。尽管其创建者似乎在几年前就放弃了这个项目,但这个阴险的USB蠕虫病毒却一直存在,并持续感染全球数百万台新机器。
该蠕虫作为臭名昭著的PlugX恶意软件的一个新变种,于2019年首次出现在人们的视野中。它可以自动将自己复制到连接到受感染机器的任何USB驱动器上,从而搭便车感染新的计算机,而无需任何用户交互。
但不知何时,黑客放弃了恶意软件的命令控制服务器,从根本上切断了他们对受感染机器的监控能力。人们可能会认为这就是这个讨厌的蠕虫病毒的终点,但事实并非如此。
安全公司Sekoia的研究人员决定进行一些数字研究,并购买了最初用于控制蠕虫的废弃IP地址。令他们惊讶的是,他们发现该蠕虫病毒仍然生机勃勃,他们的服务器每天都会收到来自9万到10万个独立IP地址的连接。在6个月的时间里,他们统计了250万个试图与主控端联系的独立IP。
值得注意的是,IP地址并不总是准确地代表受感染系统的总数,因为有些IP可能被多个设备共享,或者计算机可能使用动态IP。但是,巨大的流量表明,这种蠕虫病毒已经广泛传播,可能感染全球数百万台机器。
更耐人寻味的是,研究人员发现约有15个国家感染了80%以上的病毒。而且这些国家并不是随意挑选的,其中许多国家都具有重要的战略意义,并有中国大量的基础设施投资,这让研究人员猜测,该蠕虫病毒可能是中国针对特定地区的数据收集行动。
Sekoia指出:"这种蠕虫病毒的开发是为了在各国收集与'一带一路'倡议相关的战略和安全问题的情报,主要是关于其海洋和经济方面的情报,尽管这一点还不能确定,但这是说得通的。"
值得庆幸的是,研究人员确实发现了一个潜在的解决方案:一个命令可以清除受感染机器上的恶意软件,甚至还能清理消毒过程中连接的任何USB驱动器。不过,出于法律方面的考虑,他们决定不采取单方面行动,而是与受影响国家的相关当局联系,向他们提供数据,让他们作出决定。
研究人员写道:"考虑到开展大范围消毒活动可能带来的法律挑战,其中涉及向我们并不拥有的设备发送任意命令,我们决定推迟清理,由各国的国家计算机应急小组(CERT)、执法机构(LEA)和网络安全当局自行决定。"
阅读报告全文:
https://blog.sekoia.io/unplugging-plugx-sinkholing-the-plugx-usb-worm-botnet/
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】