您一定听说过恶意软件的威力吧?它能够在几秒钟内破坏您的系统，盗取或是锁死您的大量敏感文件。我们常见的恶意软件有许多种，其中最危险的一类当属Moonbounce。

那么Moonbounce恶意软件究竟是什么?我们怎么能够保护自己以免受其伤害?如果已经被感染，我们又该如何从系统中清除Moonbounce恶意软件呢?下面，我将和您对这些问题展开深入探讨。

什么是Moonbounce恶意软件?

总的说来，Moonbounce恶意软件是属于特洛伊木马病毒类别中的一种病毒。它是一种持久性的恶意软件，就算磁盘驱动器被格式化、操作系统被重新安装，它仍旧可以存在。也就是说，Moonbounce恶意软件很难被常规的防病毒软件识别和删除。其原因在于，一旦Moonbounce恶意软件获得了对于目标设备的访问权限，它就会避开杀毒软件查找系统异常时的常规路径，而迁移到别处。

Moonbounce恶意软件的工作原理

Moonbounce恶意软件是一种特殊而复杂的引导工具包，它主要攻击的是目标计算机的主板固件，也就是被称为统一可扩展固件接口(Unified Extensible Firmware Interface，UEFI)的部分。攻击得手后，它对于计算机硬盘驱动器或操作系统所做的任何更改，都会被留存下来。

常言道“请神容易送神难”。不请自来的Moonbounce一旦进入了您的计算机系统，不但难以被发现，而且很难被清除。具体说来，Moonbounce在获得访问权限后，首先会释放一组钩子。这些钩子会同时拦截设备的EFI引导服务表中多个函数的执行情况。

然后，这些钩子被用来转移您的设备上各个函数调用的执行，进而让恶意软件看上去符合计算机的CORE_DXE组件。随后，它们会创建一个额外的钩子，以便恶意软件可以在系统启动的时候，轻松地注入计算机系统。

下一个阶段会出现在Windows设备完成引导之后。恶意软件并不会满足当前持续、稳定地访问主机系统的状态。它会通过部署新的恶意软件，以进一步感染您的其他设备。

在Moonbounce恶意软件的稳定运行过程中，它还会将自身植入计算机主板的SPI接口的闪存中。其主要目的是，通过将恶意软件部署和繁殖到已经感染的设备上，以触发各种后续的攻击。

如何保护系统免受Moonbounce恶意软件的侵害

为防止您的设备被Moonbounce恶意软件感染或面临类似的危险，您可以采取如下六个步骤：

1.安装杀毒软件

根据“祖训”，安装防病毒软件是保护系统免受威胁的最重要步骤之一。防病毒软件会持续扫描您的计算机，以识别和删除任何已识别的恶意软件。同时，它还会通过执行自动化的更新，以更好地防御各种新发现的病毒和其他恶意软件可能产生的威胁。

2.定期更新软件

您需要优先更新已安装的各种软件，其中包括：操作系统、浏览器和应用程序等。软件制造商往往会致力于通过持续的渗透测试，来消减在其应用程序中发现到的已知漏洞。

3. 仅从可信的来源获取应用程序

请确保仅从信誉良好的来源处，购买应用程序和软件产品。这将会使您的设备感染恶意软件的可能性降至最低。

您可以通过检查来源的有效性和信任度，来判断应用程序的安全性。例如：我们应查看Google Play或Apple应用商店内，应用描述中所提供的程序全名、已发布的应用列表、以及联系信息。在允许应用程序被列出和显示之前，这两家商店都会去评估应用程序的整体安全态势。当然，有些时候某些高级的恶意程序或有漏洞的平台，也可能绕过此类检查。不过，这样的“白名单”机制，已经能够为我们过滤掉绝大部分的恶意软件了。

4. 不要点击可疑的链接

如果您出于某种原因怀疑某个链接的话，那么请一定不要点击它。如今，网络犯罪分子最常用的方法便是，克隆出一个带有有危害链接的网站。这些链接一旦被点击，就可以访问到您的个人详细信息，甚至在您单击链接的同时，下载并传播病毒。

近年来，网络犯罪分子最采用的攻击方法之一便是网络钓鱼。这同样也是黑客用来将恶意软件传播到目标设备上的最常用方法。网络钓鱼的主要使命是，诱使您打开消息、或单击看似来自可靠来源的链接。此外，网络钓鱼链接所重定向的网站，通常还会向您索取更多的个人信息。

5.定期备份数据

总的说来，备份数据有助于防止个人信息的意外丢失，并能够减少由勒索软件勒索造成的数据可用性的丧失。如果您平时能够保持定期备份重要数据的良好习惯，那么就算发生诸如Moonbounce恶意软件攻击之类的不幸事件时，您仍然可以通过备份，检索到所有有价值的信息，并启动数据的恢复过程。

6. 教育你的团队

除了上述介绍的技术手段，我们还需要通过教育和培训之类的管理手段，让相关人员运用基本意识和知识，识别各种恶意软件和骗局。您可以向他们展示如何判断待访问的网站是否已经过验证，以及当他们发现自己已经在浏览未经验证的网站时，应该采取何种操作。归根结底，整个团队了解的基本网络攻击特征和最佳实践越多，企业和个人可能受到的恶意软件攻击的损失就越小。

如何应对Moonbounce恶意软件?

一旦您发现自己的系统中存在已激活的Moonbounce恶意软件，那么它就很有可能已经正在阻断系统中各种文档的正常访问了。那么，我们该如何应对Moonbounce恶意软件的危害呢?

1.卸载流程

请在Windows操作系统界面上，单击“开始”按钮，然后将鼠标悬停在电源按钮上方(但不要点击)，单击“设置”，然后在列表中选择、或是在上方的检索区域内查找“应用程序和功能”。将出现的列表向下滚动，查找并定位Moonbounce或其他可疑的恶意软件。最后右击它们并选择“卸载”。

2.删除恶意扩展

除了软件本身，我们也需要删除那些可能与Moonbounce恶意软件相关的、针对浏览器的恶意扩展。让我们以Chrome浏览器为例，请在浏览器中单击“自定义和控制Google Chrome”选项。在此，您可以找到与Moonbounce或其他恶意软件相关的任何恶意扩展，接着您便可以单击垃圾桶图标，将它们从系统中删除掉。

完成后，您的系统中可能仍然存在着Moonbounce恶意软件的痕迹。它们可以通过重新安装的方式，在您的浏览器上死灰复燃。对此，我们需要借助其他安全查杀软件，将其核心文件删除干净。

3.使用注册表编辑器

您还可以使用Windows系统上的注册表编辑器，删除与恶意软件相关的各种文件。为此，您可以同时按“Windows + R”，以启动“运行”窗口。然后请输入“Regedit”并单击“确定”，以启动注册表编辑器。当然，您需要事先验证自己是否具有修改系统注册表的权限。

在注册表编辑器中，您可以依次选择“编辑”->“查找”，然后输入您想搜索的名称关键字。如果出现多个相似名称的条目的话，您可能需要多按几次“下一个”。定位到您要查找的条目后，您可以在异常的恶意注册表文件项上点击右键，以删除它。

4.重新检查您的电脑

该阶段的目标应该是消除所有恶意软件复发的可能性。具体操作包括：在设备系统中，通过再次搜索，删除任何剩余的Moonbounce非必需的组件。您同样可以使用防病毒程序，来扫描自己的整个电脑。

5. 清除浏览器的劫持组件

有时候，狡猾的Moonbounce和其他恶意软件可能会通过弹窗和屏幕通知的方式，诱使人们再次下载恶意软件，进而让恶意网站劫持您的浏览器。为了避免此类情况的发生，您需要将Web浏览器重置为默认设置，以消除可能被恶意软件或剩余的广告软件劫持的情况。

小结

实际上，我们和攻击者是在一个没有硝烟的战场上比拼着速度。一旦Moonbounce恶意软件获得了针对目标主机系统的访问权限，它就会在明里或暗里发起毁灭性的攻击。因此，为了尽早地检测到网络和主机中的威胁，我们需要通过部署网络安全措施，来积极、主动地发现和修补漏洞，避免蒙受服务中断和数据丢失等损失。

译者介绍

陈峻 (Julian Chen)，51CTO社区编辑，具有十多年的IT项目实施经验，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验;持续以博文、专题和译文等形式，分享前沿技术与新知;经常以线上、线下等方式，开展信息安全类培训与授课。

原文标题：??What Is Moonbounce Malware and How Does It Work???，作者：Chris Odogwu