如何删除 Bootkitty 恶意软件

如果你想删除 Bootkitty，如果你是一个没有经验的用户，这对你来说可能是一个困难的过程。 要彻底清除此恶意软件，您必须从控制面板、注册表和系统文件中卸载所有相关项目。 如果您缺乏技术技能，删除 Bootkitty 的最简单方法是使用信誉良好的反恶意软件工具，该工具可以扫描您的系统并自动消除威胁。 此外，你应该确保你的操作系统和所有软件都是最新的，避免打开可疑的电子邮件或从未知来源下载文件。

除恶意应用程序的简单步骤

网络安全专家最近发现了一项突破性进展：一种名为 Bootkitty 的新型恶意软件，旨在通过 UEFI（统一可扩展固件接口）启动包攻击 Linux 系统。到目前为止，UEFI 启动包主要对 Windows 用户构成威胁，但这一发现标志着网络威胁格局发生了重大转变。

Bootkitty：概念验证还是主动威胁？

Bootkitty 于 2024 年 11 月 5 日被发现，似乎是概念验证 (PoC)，这意味着它可能尚未用于现实世界的攻击。它是由一位名为 BlackCat 的黑客创建的，其目的是干扰 Linux 内核的安全进程。启动包禁用 Linux 的内核签名验证，并在系统启动过程中秘密加载两个未识别的 ELF（可执行和可链接格式）二进制文件。这些 ELF 文件旨在在 Linux 操作系统启动时立即运行，这是系统安全的关键阶段。

目前，没有证据表明 Bootkitty 已用于实际的网络攻击，但它的存在引发了人们对 Linux 安全未来的担忧。

Linux 用户面临的 UEFI 漏洞风险

这个新的 UEFI 启动包改变了我们看待 Linux 系统安全性的方式。从历史上看，UEFI 启动包只对 Windows 系统构成严重威胁，但 Bootkitty 表明 Linux 系统现在也容易受到攻击。启动包使用自签名证书，这意味着它可以执行有害操作，除非系统启用了名为 UEFI 安全启动的功能。安全启动是一种仅允许受信任软件运行的安全措施，因此如果没有此功能，Bootkitty 可能会造成重大危害。

Bootkitty 特别危险的原因在于它能够绕过安全启动保护。如果攻击者可以安装自己的欺诈性证书，他们就可以绕过此功能并在 Linux 系统上执行恶意操作。此外，Bootkitty 在启动过程中操纵 Linux 内核的内存，使其更难检测和阻止。

针对安全启动和 GRUB 引导加载程序

当启用安全启动时，Bootkitty 会尝试通过更改 UEFI 身份验证协议来绕过它。然后，它会操纵 GRUB 引导加载程序，该程序负责在启动期间加载 Linux。通过修补 GRUB 功能，Bootkitty 可以避免检测，确保它可以运行有害代码而不会被停止。

bootkit 还会更改 Linux 内核的解压缩过程，允许它在系统启动期间加载未经授权的文件。这意味着 Bootkitty 可以引入新的恶意模块，从而扩大其对系统的控制。bootkit 能够强制 Linux 系统加载两个未知的 ELF 文件，分别名为“/opt/injector.so”和“/init—从而”，进一步将其范围扩展到系统操作中。

BCDropper 和 BCObserver：它们有联系吗？

除了 Bootkitty，研究人员还发现了一个名为 BCDropper 的相关模块。该模块通过部署一个名为 BCObserver 的 ELF 二进制文件来工作。 BCObserver 旨在在系统启动时加载另一个恶意内核模块。该模块以相同的别名 BlackCat 运行，具有 rootkit 的一些特征，rootkit 是一种恶意软件，用于隐藏有害活动（例如秘密文件、进程和网络端口）以防止被检测到。

然而，尽管这些模块具有高级功能，但目前没有证据表明它们与 ALPHV/BlackCat 勒索软件组织有关。这意味着 Bootkitty 背后的攻击者可能与臭名昭著的勒索软件组织无关，尽管使用的方法相似。

对 Linux 系统上 UEFI 安全性的影响

尽管 Bootkitty 仍被视为概念验证，但它凸显了 Linux 系统面临的日益增长的威胁。多年来，Linux 一直被视为 Windows 的更安全替代品，遭遇复杂攻击的风险更小。然而，Bootkitty 证明 Linux 并不能免受严重的网络安全风险，尤其是随着 UEFI 启动套件的兴起。

这一新进展提醒我们维护安全系统的重要性。确保定期更新固件、使用受信任的证书以及启用安全启动，可以大大防止 Bootkitty 之类的攻击。网络安全专业人员和 Linux 用户必须采取主动措施，保护他们的系统免受新兴威胁，包括利用 UEFI 漏洞的恶意启动包。

Bootkitty 敲响了警钟，网络安全界必须适应针对 Linux 的网络犯罪分子不断演变的策略，而 Linux 以前可能被认为是一个相对安全的平台。

威胁摘要

姓名：Bootkitty

类别：木马

特征：这种感染背后的威胁行为者可以将其用于多种可恶的目的

威胁等级：高

症状：频繁的系统崩溃和死机、受感染 PC 的性能下降、错误消息等。

分发：虚假电子邮件附件、欺骗性广告、不安全的网站

Bootkitty：深度分析

像 Bootkitty 这样的特洛伊木马可用于各种恶意活动。 这是一种全新的恶意软件，因此我们尚无法准确告知您该病毒将在您的计算机中执行什么操作。 但是，您需要注意与感染相关的许多事情。 它可用于窃取保存在设备内的重要信息，还可以使用不同的策略从受害者那里榨取金钱。 它可以让网络骗子远程访问受感染的 PC，然后这些 PC 可以自己完成所有犯罪活动。

此外，Bootkitty 可以通过摄像头、麦克风和其他方式监视您并记录您的活动。 它可以记录您的击键并收集您通过键盘键入的所有数据。 此外，它可以使您的设备成为僵尸网络的一部分，并通过网络攻击其他计算机。 威胁行为者也可以利用这种寄生虫来挖掘加密货币。 这是一个需要消耗大量系统资源的过程。 因此，很可能会出现经常性的崩溃和死机以及整体设备速度变慢的问题。 为避免发生这种情况，请尽快从设备中删除 Bootkitty。

Bootkitty 感染的有害影响是什么？

像 Bootkitty 这样的特洛伊木马是看似无害或有用的软件但包含隐藏的恶意代码的恶意程序。 一旦安装在计算机或设备上，特洛伊木马就会造成一系列有害影响，包括窃取敏感信息、控制系统以及将恶意软件传播到其他设备。 木马的一些危害能力如下：

1. 窃取敏感信息：Bootkitty 等木马的主要目标之一是窃取敏感数据，例如用户名、密码、信用卡号和其他个人信息。 一旦该恶意软件安装在 PC 上，它就可以访问和捕获用户的击键、截取屏幕截图，甚至录制音频和视频。 然后，此信息可用于身份盗用、金融欺诈和其他可恶的活动。
2. 控制设备：Bootkitty 还可以让黑客远程控制设备，使他们能够执行一系列恶意活动。 例如，攻击者可以利用它来访问和修改文件、删除或加密数据，甚至接管设备的摄像头和麦克风。 在某些情况下，互联网犯罪分子可能会使用特洛伊木马创建受感染系统网络，称为僵尸网络，可用于进一步的攻击。
3. 传播恶意软件：威胁行为者还可以使用 Bootkitty 将恶意软件传播到其他设备，方法是发送受感染的文件或利用软件或操作系统中的漏洞。 这可能会导致恶意软件的快速传播和受感染设备数量的显着增加。
4. 加密数据：一些特洛伊木马旨在加密计算机上的数据并要求支付赎金以换取解密密钥。 这种类型的攻击被称为勒索软件，对于依赖其数据进行操作的组织和个人来说可能是毁灭性的。
5. 破坏性攻击：木马也可用于发起破坏性攻击，如删除或损坏文件、扰乱网络活动，甚至对系统造成物理损坏。 这些攻击可用于破坏企业、政府和关键基础设施，造成重大的财务和声誉损失。

简而言之，Bootkitty 对个人和组织的安全和隐私构成重大威胁。 它可以窃取敏感信息、控制设备、传播恶意软件、加密数据并发起破坏性攻击。

Bootkitty 可以传播勒索软件感染：

木马是网络罪犯传播勒索软件的常用方法，勒索软件是一种加密受害者文件并要求付款以换取解密密钥的恶意软件。 Bootkitty 通常伪装成合法程序或文件，并通过电子邮件附件、恶意链接或受感染的软件下载传送到目标系统。

一旦木马安装在计算机上，它就会悄悄下载并安装勒索软件。 然后，勒索软件开始加密受害者的文件，使用户无法访问这些文件。 然后，攻击者要求付款，通常以加密货币的形式，以换取可以解锁文件的解密密钥。 勒索软件攻击的后果可能对个人和组织都很严重。 以下是 Bootkitty 等木马传播的勒索软件攻击的一些潜在后果：

• 数据丢失：勒索软件可能导致受害者无法访问重要文件，例如个人照片、财务记录和商业文件。 如果受害者不支付赎金，这些文件可能会永久丢失。
• 经济损失：勒索软件攻击可能代价高昂，无论是索要赎金还是恢复丢失数据或修复设备或网络损坏的成本。
• 声誉受损：遭受勒索软件攻击的组织的声誉可能会受损，尤其是在敏感数据被泄露的情况下。
• 法律后果：如果受害者的数据包含个人或敏感信息，攻击者可能违反数据保护法，导致法律后果。
• 业务中断：勒索软件攻击可能会中断业务运营，导致收入损失、错过最后期限和其他负面后果。

综上所述，木马是网络犯罪分子传播勒索软件的常用手段。 勒索软件攻击的后果可能很严重。

Bootkitty 窃取数据的能力会带来什么后果？

Bootkitty 窃取信息的能力的后果可能是严重而持久的。 主要后果之一是身份盗用。 威胁行为者可以利用被盗数据来创建虚假身份或接管现有身份。 这可能导致经济损失、信用评分受损以及受害者的法律问题。 此外，身份盗窃的受害者可能会花费数月甚至数年的时间来试图解决因盗窃其个人信息而造成的损害。

Bootkitty 窃取数据能力的另一个影响是金融欺诈。 互联网骗子可以使用窃取的数据进行未经授权的购买或从受害者的银行账户中提款。 这可能会给受影响的人造成财务损失，并损害他们的信用评分。 在某些情况下，受害人可能无法追回被盗资金，从而导致长期的财务问题。

特洛伊木马窃取数据的能力也会导致敏感商业信息的丢失。 网络罪犯可以使用窃取的数据访问公司网络并窃取有价值的业务数据，例如知识产权或商业机密。 这可能导致重大的经济损失和公司声誉的损害。 在某些情况下，敏感商业信息的丢失会导致公司倒闭。

最后，特洛伊木马窃取数据的能力会导致恶意软件的传播。 网络罪犯可以使用窃取的数据向受害者的联系人发送有针对性的网络钓鱼电子邮件或恶意软件附件。 这可能导致恶意软件传播到其他设备，造成安全漏洞和数据盗窃的多米诺骨牌效应。

简而言之，Bootkitty 窃取数据的能力的后果很严重，可能对受害者的生活产生长期影响。 个人和公司采取积极措施保护他们的设备和数据免受这些类型的威胁非常重要，包括使用防病毒软件、避免可疑网站和下载，以及定期更新他们的安全软件。

我的电脑是如何感染这种病毒的？

此类恶意软件威胁可通过多种方式进入您的计算机。 一些常见的方法包括：

1. 垃圾邮件：垃圾邮件中的可疑链接可能导致安装病毒。
2. 在线免费托管资源：互联网上可用的免费托管资源也可能是恶意软件感染的来源。
3. 隐藏安装：病毒可以与其他应用程序一起秘密安装，尤其是免费软件或共享软件实用程序。
4. P2P资源：如果您使用非法的点对点（P2P）资源下载盗版软件，感染病毒的风险会增加。
5. 特洛伊木马：通过将威胁伪装成合法文件或程序，特洛伊木马可用于传播 Bootkitty。

特洛伊木马通常通过包含恶意附件或链接的垃圾邮件传播。 网络犯罪分子会创建看似合法但看起来很有说服力的电子邮件，例如来自银行、运输公司或政府机构的消息。 这些电子邮件诱使收件人下载并打开附件或单击链接。 单击后，恶意负载会下载并在用户的计算机上执行，从而使计算机感染恶意软件。 在某些情况下，有效负载可能会嵌入到电子邮件本身中，从而使其在打开电子邮件后立即执行。

已报告 Bootkitty 被伪装成合法工具的实例，伪装成要求启动不需要的软件或浏览器更新的消息。 一些在线诈骗采用一种技术来诱使您手动安装病毒，让您成为该过程的积极参与者。 通常，这些虚假警报不会表明您正在安装勒索软件。 相反，安装将伪装成合法程序（如 Adobe Flash Player 或其他一些可疑程序）的更新。 安装的真实性质将隐藏在这些虚假警报之下。

使用破解的应用程序和 P2P 资源下载盗版软件会对您的设备安全构成重大威胁，并可能导致注入 Bootkitty 等严重恶意软件。

特洛伊木马是此类感染的流行攻击媒介。 黑客通过将恶意软件伪装成合法文件或程序，使用特洛伊木马传播勒索软件、RAT、加密矿工、数据窃取程序。 一旦受害者下载并执行木马，恶意软件有效载荷就会在他们的系统上释放。 木马可以通过各种渠道传播，包括恶意网站、社交媒体平台和点对点网络。 网络犯罪分子经常使用社会工程策略来诱骗用户下载并执行木马程序。

マルウェア対策の詳細とユーザーガイド

Windowsの場合はここをクリック
Macの場合はここをクリック

重要说明：该恶意软件要求您启用Web浏览器通知。因此，在进行手动删除过程之前，请执行以下步骤。

谷歌浏览器（PC）

• 转到屏幕的右上角，然后单击三个点以打开“菜单”按钮
• 选择“设置”。向下滚动鼠标以选择“高级”选项
• 向下滚动至“隐私和安全”部分，然后选择“内容设置”，然后选择“通知”选项
• 查找每个可疑的URL，然后单击右侧的三个点，然后选择“阻止”或“删除”选项

谷歌浏览器（Android）

• 转到屏幕的右上角，然后单击三个点以打开菜单按钮，然后单击“设置”
• 进一步向下滚动以单击“站点设置”，然后按“通知”选项
• 在新打开的窗口中，一个一个地选择每个可疑URL。
• 在权限部分，选择“通知”，然后选择“关闭”切换按钮

火狐浏览器

• 在屏幕的右上角，您会注意到三个点，即“菜单”按钮
• 选择“选项”，然后在屏幕左侧的工具栏中选择“隐私和安全性”
• 缓慢向下滚动并转到“权限”部分，然后选择“通知”旁边的“设置”选项
• 在新打开的窗口中，选择所有可疑URL。点击下拉菜单，然后选择“阻止”

IE浏览器

• 在Internet Explorer窗口中，选择右上角的Gear按钮
• 选择“ Internet选项”
• 选择“隐私”选项卡，然后选择“弹出窗口阻止程序”部分下的“设置”
• 逐一选择所有可疑URL，然后单击“删除”选项

微软边缘

• 打开Microsoft Edge，然后单击屏幕右上角的三个点以打开菜单
• 向下滚动并选择“设置”
• 进一步向下滚动以选择“查看高级设置”
• 在“网站权限”选项中，单击“管理”选项
• 单击每个可疑URL下的开关

Safari（Mac）：

• 在右上角，单击“ Safari”，然后选择“首选项”
• 转到“网站”选项卡，然后在左窗格中选择“通知”部分
• 搜索可疑URL，并为每个URL选择“拒绝”选项

手动步骤以删除Bootkitty：

使用控制面板删除Bootkitty的相关项目

Windows 7用户

单击“开始”（桌面屏幕左下角的Windows徽标），然后选择“控制面板”。找到“程序”，然后单击“卸载程序”

Windows XP用户

单击“开始”，然后选择“设置”，然后单击“控制面板”。搜索并单击“添加或删除程序”选项

Windows 10和8用户：

转到屏幕的左下角，然后单击鼠标右键。在“快速访问”菜单中，选择“控制面板”。在新打开的窗口中，选择“程序和功能”

Mac OSX用户

单击“查找器”选项。在新打开的屏幕中选择“应用程序”。在“应用程序”文件夹中，将应用程序拖到“垃圾箱”。右键单击垃圾箱图标，然后单击“清空垃圾箱”。

在卸载程序窗口中，搜索PUA。选择所有不需要的和可疑的条目，然后单击“卸载”或“删除”。

卸载所有可能导致Bootkitty问题的潜在有害程序后，请使用反恶意软件工具扫描计算机，查看是否有任何剩余的PUP和PUA或可能的恶意软件感染。要扫描PC，请使用推荐的反恶意软件工具。

如何从Internet浏览器中删除广告软件（Bootkitty）

从IE删除恶意加载项和扩展名

单击Internet Explorer右上角的齿轮图标。选择“管理加载项”。搜索任何最近安装的插件或附件，然后单击“删除”。

附加选项

如果仍然遇到与Bootkitty删除有关的问题，可以将Internet Explorer重置为其默认设置。

Windows XP用户：按“开始”，然后单击“运行”。在新打开的窗口中，键入“ inetcpl.cpl”，然后单击“高级”选项卡，然后按“重置”。

Windows Vista和Windows 7用户：按Windows徽标，在开始搜索框中键入inetcpl.cpl，然后按Enter。在新打开的窗口中，单击“高级选项卡”，然后单击“重置”按钮。

对于Windows 8用户：打开IE，然后单击“齿轮”图标。选择“ Internet选项”

在新打开的窗口中选择“高级”标签

按下“重置”选项

您必须再次按下“重置”按钮以确认您确实要重置IE。

从Google Chrome移除可疑和有害扩展程序

通过按三个垂直点进入Google Chrome菜单，然后选择“更多工具”，然后选择“扩展”。您可以搜索所有最近安装的加载项，然后删除所有加载项。

可选方法

如果与Bootkitty相关的问题仍然存在，或者在删除时遇到任何问题，建议您重置Google Chrome浏览器设置。转到右上角的三个点，然后选择“设置”。向下滚动底部，然后单击“高级”。

在底部，注意“重置”选项，然后单击它。

在下一个打开的窗口中，通过单击“重置”按钮确认您要重置Google Chrome设置。

从Firefox Mozilla中删除Bootkitty插件（包括所有其他可疑插件）

打开Firefox菜单，然后选择“附加组件”。单击“扩展名”。选择所有最近安装的浏览器插件。

可选方法

如果在删除Bootkitty时遇到问题，则可以选择重新设置Mozilla Firefox的设置。

打开浏览器（Mozilla Firefox），然后单击“菜单”，然后单击“帮助”。

选择“故障排除信息”

在新打开的弹出窗口中，单击“刷新Firefox”按钮

下一步是确认真正要通过单击“刷新Firefox”按钮将Mozilla Firefox设置重置为其默认设置。

从Safari移除恶意扩展

打开Safari并转到其“菜单”，然后选择“首选项”。

单击“扩展名”，然后选择所有最近安装的“扩展名”，然后单击“卸载”。

可选方法

打开“ Safari”并进入菜单。在下拉菜单中，选择“清除历史记录和网站数据”。

在新打开的窗口中，选择“所有历史记录”，然后按“清除历史记录”选项。

从Microsoft Edge删除Bootkitty（恶意加载项）

打开Microsoft Edge并转到浏览器右上角的三个水平点图标。选择所有最近安装的扩展，然后右键单击鼠标以“卸载”

可选方法

打开浏览器（Microsoft Edge）并选择“设置”

下一步是单击“选择要清除的内容”按钮

单击“显示更多”，然后选择所有内容，然后按“清除”按钮。

如何防止 Bootkitty 攻击？

尽管没有任何安全措施可以保证完全抵御恶意软件，但您可以采取某些预防措施来防止可怕的网络威胁感染您的设备。 安装免费软件时要保持警惕，并仔细阅读安装程序的附加优惠。

用户在打开来自未知发件人的电子邮件或任何看似可疑或异常的邮件时应谨慎。 如果发件人或地址不熟悉，或者内容与您期望的无关，最好不要打开邮件。 你不太可能在你没有参加的比赛中获奖，所以要警惕任何声称你赢了东西的电子邮件。 如果电子邮件主题似乎与您预期的内容相关，请务必彻底检查邮件的各个方面。 骗子经常犯错，因此仔细检查电子邮件的内容可以帮助您识别任何欺诈活动。 请记住，最好谨慎行事，避免打开看似可疑的电子邮件或信件。

使所有软件和安全程序保持最新状态以防止恶意软件可以利用的漏洞也很重要。 使用破解的或未知的程序是基于特洛伊木马的攻击的重大风险。 网络罪犯经常分发伪装成合法软件的特洛伊木马，例如补丁或许可证检查。 然而，区分可信软件和恶意特洛伊木马是一项挑战，因为某些特洛伊木马甚至可能具有用户寻求的功能。

为了减轻这种风险，至关重要的是避免完全使用不受信任的程序，并且只从信誉良好的来源下载软件。 在下载任何程序之前，用户应该彻底研究它并阅读来自可信来源的评论。 还建议咨询反恶意软件留言板，以收集有关可能引起怀疑的任何软件的更多信息。 归根结底，抵御特洛伊木马攻击的最佳方法是谨慎行事，避免从不受信任的来源下载软件。

结论

在大多数情况下，PUP和广告软件通过不安全的免费软件下载进入标记的PC中。建议您仅在下载任何类型的免费应用程序时才选择开发人员网站。选择自定义或高级安装过程，以便您可以跟踪列出的要与主程序一起安装的其他PUP。