美国FBI联手法国，清除美国数千台Windows电脑中的PlugX恶意软件

美国联邦调查局（FBI）与法国警方合作，成功清除了位于美国的数千台Windows电脑中的PlugX恶意软件，这次行动臆测是针对由某国政府支持的黑客组织——野马熊猫所实施的攻击进行的，该组织已经渗透到了美国、欧洲以及印度-太平洋地区的多个政府和私人机构。

据美国检察官提供的信息，野马熊猫自2021年起对多个国家和地区进行了攻击，包括2024年针对一家欧洲航运公司的攻击，以及对全球范围内异见团体的攻击。此次清除行动涉及9份授权令，允许FBI远程删除这些电脑上的恶意软件。

PlugX是一种允许攻击者远程访问并控制受感染计算机的恶意软件，它能够窃取文件并在受害机器上部署额外的恶意程序。特别值得注意的是，这种变体通过USB设备传播，一旦插入其他电脑即可造成新的感染。为了解决这一问题，法国网络安全公司Sekoia.io于2023年关闭了用于控制这些被感染设备的服务器。

PlugX内置有自毁命令，该命令可以从受感染的机器上删除恶意代码，然后在受感染的PC上远程运行该命令来删除软件。这个命令是从一个服务器发出的，这个服务器使用的IP地址以前被法国人用来控制机器人。
根据美国联邦调查局，这个自删除命令执行了以下操作:
1.删除受害者计算机上由PlugX恶意软件创建的文件，
2.删除用于在受害者计算机启动时自动运行PlugX应用程序的PlugX注册表项，
3.创建一个临时脚本文件，在PlugX应用程序停止后删除它，
4.停止PlugX应用程序
5.运行临时文件删除PlugX应用程序，删除PlugX恶意软件在受害者计算机上创建的用于存储PlugX文件的目录，并从受害者计算机上删除临时文件。

在2024年8月，美国司法部与FBI联手采取法律行动，获得了必要的授权令来移除美国境内的PlugX恶意软件。至2025年1月3日，总计约4,258个系统得到了清理。FBI利用恶意软件内置的自毁功能，从受感染机器中彻底删除了PlugX组件，并确保其无法再次启动。