Por ejemplo, ¿podría "engañar" a la mayoría de las herramientas de partición / utilidad de disco que se eliminó con éxito, pero con el malware aún existente? Algo similar a lo que sucedería si tratara de "limpiar" un flash de un BIOS infectado, donde le informaría que lo hizo, pero en realidad no sucedió nada y aún está comprometido.
El malware podría sobrevivir sin estar en el firmware al enganchar las llamadas de acceso al disco del sistema operativo e impedir que cualquier cosa lo borre dentro del sistema operativo comprometido.
Si tuviera que arrancar en vivo en un sistema operativo limpio conocido o limpiar el disco duro eliminándolo del sistema existente (y sabía que el malware no residía en el firmware), probablemente podría borrarlo, pero existen advertencias. :
¿Sabes que el disco duro en sí no está comprometido?
En teoría, el disco duro podría estar diseñado con otro chip que almacena una copia del malware y lo vuelve a escribir después de una limpieza exitosa. Otra preocupación más sería que el malware se oculte en una pieza diferente de hardware dentro del sistema (ya sea a través de una infección de firmware o un implante de hardware), evitando así cualquier intento de borrarlo limpiando o reemplazando un disco duro.
El proceso mencionado anteriormente de usar un CD en vivo también está potencialmente lleno de peligros potenciales. ¿Confías en la BIOS? ¿Qué pasa con la cadena de arranque? Los sistemas operativos modernos a menudo utilizan un sistema de arranque llamado UEFI que, al menos parcialmente, está controlado por datos que residen en la unidad. Si bien existen controles para evitar la manipulación no autorizada del proceso de arranque, es posible que el malware se inyecte en esa cadena de arranque. Aún más de baja tecnología, es el malware que se ejecuta en un dispositivo USB o en un lugar para emular un dispositivo USB, si la prioridad de inicio permite el arranque desde dispositivos USB antes del disco duro. Una vez más, el malware podría cargarse e inyectarse en cualquier proceso de arranque posterior, incluso traspasando de forma transparente el arranque al sistema operativo "normal" después de conectarlo. Si alguna vez ha roto una instalación de grub de Linux, es posible que tenga experiencia al iniciar el shell de grub a través de un CD en vivo o USB, y luego teclear manualmente el código para transferir la ejecución a la instalación de Linux en el disco duro, que es similar a la proceso malicioso podría emplear.
Si su software de reformateo estaba infectado, entonces esa sería una forma. Si el software de reformateo es correcto y no tiene puertas traseras y se ejecuta desde un medio externo y su BIOS está limpio, entonces creo que realmente no hay otros lugares para que el malware lo engañe fuera del propio firmware, lo que descartó . La única excepción sería si su hardware tiene la puerta trasera incorporada.