App e softwareTecnologia

Virus che resistono alle formattazioni: possibile?

Esistono virus che resistono addirittura alla formattazione? In generale sì e possono nascondersi sia nelle partizioni non formattate del disco che nel BIOS

Andrea Tasinato Commenta! 5

Ogni tanto capita di sentire che alcuni virus siano impossibili da eliminare se non formattando, ma possono alcuni di questi sopravvivere addirittura ad una formattazione completa del disco? In breve: sì!

Contenuti di questo articolo

Ci sono però alcune precisazioni da fare.

Virus che resistono alla formattazione del disco

Tecnicamente, un virus (o una qualsiasi minaccia informatica malware, ransomware, etc) non può (possono) sopravvivere a una formattazione completa e corretta del supporto di memorizzazione se è localizzato solo in partizioni formattate; tuttavia, ci sono eccezioni in casi particolari.

Leggi Altro

Motorola Razr 60 Ultra: uno smartphone e due stili
Microsoft terminerà il supporto per le password nell’app Authenticator a partire dal 1 agosto 2025.
Prorelax Vacuum Massager Sensitive: micidiale contro la cellulite ed efficace per il lipedema
Scattered Spider prende di mira il settore aereo: l’FBI lancia l’allarme
Virus che resistono alle formattazioni: possibile?

Firmware/UEFI/BIOS rootkit

Alcuni malware avanzati possono infettare componenti fuori dal sistema operativo:

  • UEFI rootkit: malware che infetta il firmware UEFI (successore del BIOS) e questi si caricano prima del sistema operativo, quindi una formattazione del disco non li elimina.
    • Esempio reale: LoJax (2018) – uno dei primi rootkit UEFI rilevati in libertà.
  • BIOS rootkit: simili, ma per vecchi sistemi con BIOS, i quali sono (fortunatamente!) sempre più rari oggi.

Firmware dei dispositivi

Un altro livello ancora più nascosto:

  • Firmware dell’hard disk/SSD: alcuni malware possono riscrivere parte del firmware del disco stesso. Sono estremamente rari e richiedono accesso a basso livello, spesso tramite vulnerabilità specifiche del produttore.
    • Esempio teorico: malware descritti nel progetto Equation Group (attribuito all’NSA da Snowden), capaci di infettare firmware di dischi WD, Seagate, Samsung, ecc.
Virus che resistono alle formattazioni: possibile?

Altri metodi di persistenza

Ci sono anche casi in cui la “formattazione” non è davvero completa:

  • Partizioni nascoste o non formattate (es. recovery partizioni lasciate intatte).
  • Formattazioni veloci, che non cancellano fisicamente i dati.
  • Chiavette USB infette che reintroducono il malware appena reinserite (effetto “cavallo di Troia”).

Come difendersi da virus che persistono in maniera simile?

Per evitare persistenze post-formattazione:

  1. Usa strumenti di wipe a basso livello (come DBAN o dd su Linux con /dev/zero o /dev/random).
  2. Aggiorna UEFI/BIOS solo da fonti sicure.
  3. Non reinserire dispositivi USB se non sei sicuro della loro integrità, nel senso: cambia proprio periferica e distruggila nel caso peggiore.
  4. Per paranoici (e per chi lavora in ambienti critici): considera la reinizializzazione o sostituzione del firmware UEFI e dei dischi in caso di sospetto attacco firmware.
Virus che resistono alle formattazioni: possibile?

Come verificare se un firmware è stato alterato

Ci sono alcuni metodi per verificare se un virus o qualcos’altro hanno modificato il firmware

Metodo base: controllo integrità e versione

  1. Accedi al BIOS/UEFI premendo [F2], [DEL], [ESC] o il tasto specifico al boot.
  2. Segna marca, modello e versione del firmware (es. AMI UEFI v2.20, 2021-11-08).
  3. Vai sul sito ufficiale del produttore della scheda madre o del laptop e:
    • Verifica se quella versione è l’ultima disponibile.
    • Se è diversa da quella ufficiale, o più recente di quella elencata, è sospetto.

Attenzione: alcuni rootkit firmware scrivono versioni “mascherate” che sembrano ufficiali ma non lo sono. L’unico modo sicuro è fare un hash dump del firmware.

Verifica firmware con strumenti di dump e confronto

Se vuoi andare più in profondità e sconfiggere il malvagio virus persistente, esistono distro Linux apposite.

Linux è la piattaforma ideale per questo tipo di analisi contro questi malvagi virus persistenti.

Installa chipsec, una suite sviluppata da Intel per analisi del firmware, ed esegui i seguenti comandi:

sudo apt install git python3-pip build-essential
git clone https://github.com/chipsec/chipsec.git
cd chipsec
sudo pip3 install -r requirements.txt
sudo python3 chipsec_main.py -m tools.uefi.scan -a

Questa scansione cerca moduli UEFI sospetti e anomalie di configurazione e se trova firmware modificati, ti avvisa.

Virus che resistono alle formattazioni: possibile?

Confronto binario (avanzato)

Usa flashrom per scaricare una copia binaria del firmware, usa quindi questi comandi:

sudo apt install flashrom
sudo flashrom -p internal -r dump.bin

Fatto tutto questo confronta dump.bin con un’immagine firmware originale ufficiale (se disponibile) e Usa diff, binwalk o hexdump per controllare se ci sono modifiche

Conclusione

Come hai potuto vedere, esistono virus che possono sopravvivere alla formattazione in determinate condizioni, ma sono molto rari, difficili da scrivere, e solitamente usati in ambiti di spionaggio o cyberwarfare, non per l’utente medio.

Condividi questo articolo
lascia un commento