Plugx kallas en USB-mask som har funnits sedan minst 2008 och härrör från Kina, där den har kopplats till landets säkerhetsapparat. USB-maskar är en typ av skadeprogram som smittar via USB utan att användaren behöver göra något. En infekterad dator infekterar i sin tur alla anslutna USB-lagringsenheter, som i sin tur kan sprida programmet vidare.
Just den här masken finns i olika varianter. En av dessa är övergiven av utvecklarna sedan flera år, men har fortsatt att infektera nya datorer, rapporterar Ars Technica. Smittade datorer försöker ansluta till en enda IP-adress där det tidigare fanns en styrserver som användes för att spionera på och styra infekterade maskiner. Den IP-adressen har säkerhetsfirman Sekoia numera kontroll över, och för att hålla koll på skadeprogrammets spridning installerade firman en enkel webbserver vars enda uppgift är att samla statistik.
Sekoia trodde att de skulle få kontakt av några tusen infekterade maskiner, men istället har företaget fått 90 000–100 000 anslutningar från unika IP-adresser varje dag. Efter sex månader har totalt nästan 2,5 miljoner unika IP-adresser kontaktat slukhålet, som den här typen av servrar kallas (eftersom de bara samlar in inkommande trafik och aldrig svarar).
Kontakten kommer från många länder, utan något uppenbart mönster. Nigeria står för flest, följt av Indien, Kina, Iran, Indonesien, Storbritannien, Irak och USA. Där skiljer den sig från tidigare USB-maskar som RETADUP som hade störst spridning i spansktalande länder. Sekoias hypotes är att den har spritts från flera separata primärfall.
Sekoia har möjlighet att svara inkommande anslutningar med ett kommando som får skadeprogrammet att radera sig självt, men eftersom det kan förstöra även andra data på den infekterade maskinen har företaget valt att avvakta. Myndigheter i enskilda länder kan kontakta företaget för att få hjälp att skrubba bort Plugx från datorer i just det landet.