近日，蠕虫病毒PlugX的新变种已经在全球范围感染了超过250万台主机。
  PlugX是有着十多年历史的老牌恶意软件（蠕虫病毒），最早可追溯到2008年，最初只被亚洲的黑客组织使用，主要针对政府、国防、技术和政治组织。2015年发生代码泄露后，PlugX被改造成大众化的流行黑客工具，被全球网络犯罪分子广泛使用，其中一些黑客组织将其与数字签名软件结合，用于实施侧加载加密的攻击载荷。
  PlugX的最新变种增加了蠕虫组件，可通过U盘感染物理隔离系统。2023年派拓网络公司（PaloAltoNetwork）的Unit42团队在响应BlackBasta勒索软件攻击时，在VirusTotal扫描平台上发现了PlugX的一个新变种可通过U盘传播，并能将目标敏感文件隐藏在U盘中。2023年3月，Sophos也报告了这种可通过USB自我传播的PlugX新变种，并称其已经“传播了半个地球”。

全球250万台主机中招，中美都是重灾区
  六个月前，研究人员发现了一个被黑客废弃的PlugX恶意软件变种（Sinkhole）的命令和控制(C2)服务器。在联系托管公司并请求控制IP后，研究人员花费7美元获取了该服务器的IP地址45.142.166.xxx，并使用该IP获得了对服务器的shell访问权限。分析人员设置了一个简单的Web服务器来模仿原始C2服务器的行为，捕获来自受感染主机的HTTP请求并观察流量的变化。C2服务器的操作记录显示，每天有9-10万个主机发送请求，六个月内全球有近250万个独立IP连接到该服务器。
  研究人员发现，PlugX已传播到全球170个国家，但集中度较高，15个国家占感染总数的80%以上，其中尼日利亚、印度、中国、伊朗、印度尼西亚、英国、伊拉克和美国是重灾区。
  研究人员强调，由于被废弃的PlugXC2服务器没有唯一标识符，这导致受感染主机的统计数字可能并不十分准确，因为：许多受感染的工作站可以通过相同的IP地址连接；由于采用动态IP寻址，一个受感染系统可以连接多个IP地址；许多连接是通过VPN服务进行的，这可能使来源国家/地区的数据失真。

两种杀毒方法
  建议各国网络安全团队和执法机构采取两种杀毒方法。
  第一种方法是发送PlugX支持的自删除命令，该命令应将其从计算机中删除，而无需执行其他操作。但需要注意的是，因为PlugX新变种可通过USB设备传播，第一种方法无法清除这些“离线”病毒。即使从主机中删除了恶意软件，仍然存在重新感染的风险。
  第二种方法较为复杂，需要在受感染的计算机上开发和部署自定义有效负载，从系统以及与其连接的受感染USB驱动器中删除PlugX。