您一定聽說過惡意軟件的威力吧?它能夠在幾秒鐘內破壞您的系統，盜取或是鎖死您的大量敏感文件。我們常見的惡意軟件有許多種，其中最危險的一類當屬Moonbounce。

那么Moonbounce惡意軟件究竟是什么?我們怎么能夠保護自己以免受其傷害?如果已經被感染，我們又該如何從系統中清除Moonbounce惡意軟件呢?下面，我將和您對這些問題展開深入探討。

什么是Moonbounce惡意軟件?

總的說來，Moonbounce惡意軟件是屬于特洛伊木馬病毒類別中的一種病毒。它是一種持久性的惡意軟件，就算磁盤驅動器被格式化、操作系統被重新安裝，它仍舊可以存在。也就是說，Moonbounce惡意軟件很難被常規的防病毒軟件識別和刪除。其原因在于，一旦Moonbounce惡意軟件獲得了對于目標設備的訪問權限，它就會避開殺毒軟件查找系統異常時的常規路徑，而遷移到別處。

Moonbounce惡意軟件的工作原理

Moonbounce惡意軟件是一種特殊而復雜的引導工具包，它主要攻擊的是目標計算機的主板固件，也就是被稱為統一可擴展固件接口(Unified Extensible Firmware Interface，UEFI)的部分。攻擊得手后，它對于計算機硬盤驅動器或操作系統所做的任何更改，都會被留存下來。

常言道“請神容易送神難”。不請自來的Moonbounce一旦進入了您的計算機系統，不但難以被發現，而且很難被清除。具體說來，Moonbounce在獲得訪問權限后，首先會釋放一組鉤子。這些鉤子會同時攔截設備的EFI引導服務表中多個函數的執行情況。

然后，這些鉤子被用來轉移您的設備上各個函數調用的執行，進而讓惡意軟件看上去符合計算機的CORE_DXE組件。隨后，它們會創建一個額外的鉤子，以便惡意軟件可以在系統啟動的時候，輕松地注入計算機系統。

下一個階段會出現在Windows設備完成引導之后。惡意軟件并不會滿足當前持續、穩定地訪問主機系統的狀態。它會通過部署新的惡意軟件，以進一步感染您的其他設備。

在Moonbounce惡意軟件的穩定運行過程中，它還會將自身植入計算機主板的SPI接口的閃存中。其主要目的是，通過將惡意軟件部署和繁殖到已經感染的設備上，以觸發各種后續的攻擊。

如何保護系統免受Moonbounce惡意軟件的侵害

為防止您的設備被Moonbounce惡意軟件感染或面臨類似的危險，您可以采取如下六個步驟：

1.安裝殺毒軟件

根據“祖訓”，安裝防病毒軟件是保護系統免受威脅的最重要步驟之一。防病毒軟件會持續掃描您的計算機，以識別和刪除任何已識別的惡意軟件。同時，它還會通過執行自動化的更新，以更好地防御各種新發現的病毒和其他惡意軟件可能產生的威脅。

2.定期更新軟件

您需要優先更新已安裝的各種軟件，其中包括：操作系統、瀏覽器和應用程序等。軟件制造商往往會致力于通過持續的滲透測試，來消減在其應用程序中發現到的已知漏洞。

3. 僅從可信的來源獲取應用程序

請確保僅從信譽良好的來源處，購買應用程序和軟件產品。這將會使您的設備感染惡意軟件的可能性降至最低。

您可以通過檢查來源的有效性和信任度，來判斷應用程序的安全性。例如：我們應查看Google Play或Apple應用商店內，應用描述中所提供的程序全名、已發布的應用列表、以及聯系信息。在允許應用程序被列出和顯示之前，這兩家商店都會去評估應用程序的整體安全態勢。當然，有些時候某些高級的惡意程序或有漏洞的平臺，也可能繞過此類檢查。不過，這樣的“白名單”機制，已經能夠為我們過濾掉絕大部分的惡意軟件了。

4. 不要點擊可疑的鏈接

如果您出于某種原因懷疑某個鏈接的話，那么請一定不要點擊它。如今，網絡犯罪分子最常用的方法便是，克隆出一個帶有有危害鏈接的網站。這些鏈接一旦被點擊，就可以訪問到您的個人詳細信息，甚至在您單擊鏈接的同時，下載并傳播病毒。

近年來，網絡犯罪分子最采用的攻擊方法之一便是網絡釣魚。這同樣也是黑客用來將惡意軟件傳播到目標設備上的最常用方法。網絡釣魚的主要使命是，誘使您打開消息、或單擊看似來自可靠來源的鏈接。此外，網絡釣魚鏈接所重定向的網站，通常還會向您索取更多的個人信息。

5.定期備份數據

總的說來，備份數據有助于防止個人信息的意外丟失，并能夠減少由勒索軟件勒索造成的數據可用性的喪失。如果您平時能夠保持定期備份重要數據的良好習慣，那么就算發生諸如Moonbounce惡意軟件攻擊之類的不幸事件時，您仍然可以通過備份，檢索到所有有價值的信息，并啟動數據的恢復過程。

6. 教育你的團隊

除了上述介紹的技術手段，我們還需要通過教育和培訓之類的管理手段，讓相關人員運用基本意識和知識，識別各種惡意軟件和騙局。您可以向他們展示如何判斷待訪問的網站是否已經過驗證，以及當他們發現自己已經在瀏覽未經驗證的網站時，應該采取何種操作。歸根結底，整個團隊了解的基本網絡攻擊特征和最佳實踐越多，企業和個人可能受到的惡意軟件攻擊的損失就越小。

如何應對Moonbounce惡意軟件?

一旦您發現自己的系統中存在已激活的Moonbounce惡意軟件，那么它就很有可能已經正在阻斷系統中各種文檔的正常訪問了。那么，我們該如何應對Moonbounce惡意軟件的危害呢?

1.卸載流程

請在Windows操作系統界面上，單擊“開始”按鈕，然后將鼠標懸停在電源按鈕上方(但不要點擊)，單擊“設置”，然后在列表中選擇、或是在上方的檢索區域內查找“應用程序和功能”。將出現的列表向下滾動，查找并定位Moonbounce或其他可疑的惡意軟件。最后右擊它們并選擇“卸載”。

2.刪除惡意擴展

除了軟件本身，我們也需要刪除那些可能與Moonbounce惡意軟件相關的、針對瀏覽器的惡意擴展。讓我們以Chrome瀏覽器為例，請在瀏覽器中單擊“自定義和控制Google Chrome”選項。在此，您可以找到與Moonbounce或其他惡意軟件相關的任何惡意擴展，接著您便可以單擊垃圾桶圖標，將它們從系統中刪除掉。

完成后，您的系統中可能仍然存在著Moonbounce惡意軟件的痕跡。它們可以通過重新安裝的方式，在您的瀏覽器上死灰復燃。對此，我們需要借助其他安全查殺軟件，將其核心文件刪除干凈。

3.使用注冊表編輯器

您還可以使用Windows系統上的注冊表編輯器，刪除與惡意軟件相關的各種文件。為此，您可以同時按“Windows + R”，以啟動“運行”窗口。然后請輸入“Regedit”并單擊“確定”，以啟動注冊表編輯器。當然，您需要事先驗證自己是否具有修改系統注冊表的權限。

在注冊表編輯器中，您可以依次選擇“編輯”->“查找”，然后輸入您想搜索的名稱關鍵字。如果出現多個相似名稱的條目的話，您可能需要多按幾次“下一個”。定位到您要查找的條目后，您可以在異常的惡意注冊表文件項上點擊右鍵，以刪除它。

4.重新檢查您的電腦

該階段的目標應該是消除所有惡意軟件復發的可能性。具體操作包括：在設備系統中，通過再次搜索，刪除任何剩余的Moonbounce非必需的組件。您同樣可以使用防病毒程序，來掃描自己的整個電腦。

5. 清除瀏覽器的劫持組件

有時候，狡猾的Moonbounce和其他惡意軟件可能會通過彈窗和屏幕通知的方式，誘使人們再次下載惡意軟件，進而讓惡意網站劫持您的瀏覽器。為了避免此類情況的發生，您需要將Web瀏覽器重置為默認設置，以消除可能被惡意軟件或剩余的廣告軟件劫持的情況。

小結

實際上，我們和攻擊者是在一個沒有硝煙的戰場上比拼著速度。一旦Moonbounce惡意軟件獲得了針對目標主機系統的訪問權限，它就會在明里或暗里發起毀滅性的攻擊。因此，為了盡早地檢測到網絡和主機中的威脅，我們需要通過部署網絡安全措施，來積極、主動地發現和修補漏洞，避免蒙受服務中斷和數據丟失等損失。

譯者介紹

陳峻 (Julian Chen)，51CTO社區編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗;持續以博文、專題和譯文等形式，分享前沿技術與新知;經常以線上、線下等方式，開展信息安全類培訓與授課。

原文標題：??What Is Moonbounce Malware and How Does It Work???，作者：Chris Odogwu