FBI 从 4,200 多台美国计算机中删除了 PlugX 恶意软件

美国司法部和联邦调查局与国际合作伙伴宣布，他们已在为期数月的执法行动中，从全球数千台受感染的计算机中删除了PlugX恶意软件。该恶意软件由Mustang Panda（又名 Twill Typhoon）威胁组织操作，目的是从受害计算机窃取敏感信息。

该恶意软件自 2014 年以来一直用于针对美国、欧洲和亚洲实体。法庭最近采取行动，从美国系统中清除了 PlugX 感染。

法国执法和网络安全公司 Sekoia.io 领导了针对该恶意软件的国际行动。他们发现了如何向受感染的主机发送命令以清除 PlugX 版本。

FBI 测试了这些命令并确认了其有效性，联邦调查局还确定这些命令对受感染计算机的正常功能没有影响。

“2024 年 8 月，司法部和联邦调查局在宾夕法尼亚州东区获得了九项授权中的首项，授权从美国计算机中删除 PlugX。最后一项授权于 2025 年 1 月 3 日到期，从而结束了美国部分的行动。”司法部发布的新闻稿写道。“总的来说，这项法院授权的行动从大约 4,258 台美国计算机和网络中删除了 PlugX 恶意软件。”

此次国际行动针对的 PlugX 变种具有蠕虫功能，使得恶意软件能够通过 USB 闪存驱动器传播。

法国执法机构已获得用于控制该恶意软件的 C2 服务器 (45.142.166.112) 的访问权限。然后执法机构使用 C2 服务器向感染了 PlugX 恶意软件变种的计算机发送命令。

此 PlugX 恶意软件支持“自我删除”命令，该命令指示恶意软件：

• 删除受害计算机上 PlugX     恶意软件创建的文件；
• 删除用于在受害计算机启动时自动运行     PlugX 应用程序的 PlugX 注册表项；
• 创建一个临时脚本文件，用于在     PlugX 应用程序停止后删除它；
• 停止 PlugX 应用程序；
• 运行临时文件以删除 PlugX     应用程序，删除 PlugX 恶意软件在受害计算机上创建的用于存储 PlugX 文件的目录，并从受害计算机中删除临时文件。

新闻链接：

https://securityaffairs.com/173073/malware/fbi-deleted-china-linked-plugx-malware-from-over-4200-us-computers.html

讲述普通人能听懂的安全故事