Hay siempre un sistema operativo, aunque no necesariamente complejo. El BIOS es un sistema operativo en el sentido estricto del término: proporciona acceso al hardware a través de una API independiente del hardware. El código de inicio para un sistema operativo (o algún malware que pretende ser ese código de inicio) utiliza la API proporcionada por el BIOS para leer (y posiblemente escribir) bytes del disco duro.
Teóricamente, nada impediría que una pieza de malware, instalada como "código de inicio", use el BIOS para observar los discos duros, localizar archivos "infectables" e infectarlos. Esto implicaría dar sentido a la estructura del sistema de archivos, que normalmente es un trabajo realizado por el sistema operativo "grande" (Windows o Linux o OS X o lo que sea). Si el malware quiere hacer esto por sí mismo, entonces debe incluir el código para hacerlo, que puede ser voluminoso, o tomar un esfuerzo de desarrollo no despreciable. Por lo tanto, aunque es posible, se puede esperar que la mayoría de los autores de malware, no siendo menos perezosos que cualquier otro desarrollador, preferirán evitarlo. Iniciar un sistema operativo "normal" y luego usar sus facilidades para acceder a los archivos es más fácil.
El cargador de arranque GNU GRUB no es en absoluto malware; es una pieza de software cuyo trabajo es aprovechar los accesos de bajo nivel del BIOS para ubicar y cargar en la RAM los elementos centrales de un sistema operativo para arrancar (por ejemplo, el kernel en el caso de Linux). Como parte de su funcionamiento, incluye soporte para muchos sistemas de archivos . Un autor de malware que quiera localizar e infectar archivos en un sistema de archivos desde un entorno de "cargador de arranque" probablemente reutilizará partes de GRUB. En cualquier caso, GRUB demuestra que el código de soporte del sistema de archivos puede ser lo suficientemente compacto como para ajustarse a las restricciones del entorno de carga de arranque.