@Xynon1: Man kann Schadprogramme überall verstecken, auch in irgendwelchen Festplattenblöcken. Allerdings ist es sinnlos, den Schadcode so gut zu verstecken, dass er gar nicht mehr ausgeführt wird.
Festplatteninhalte werden nur unter bestimmten Umständen ausgeführt, nämlich beim Systemstart und wenn das Betriebssystem Programme ausführt. Beim Systemstart kann ein Schadprogramm natürlich alles tun, weil das Betriebssystem noch nicht läuft, solche Schadprogramme sind allerdings schwieriger zu implementieren und zu installieren.
Das Betriebssystem aber lädt Programm über das Dateisystem von der Festplatte und zwingt diese Programme anschließend unter seine Rechteverwaltung. Rohdaten von der Festplatte werden nicht einfach so ausgeführt, und Programme gelangen auch nicht ohne weiteres an diese Rohdaten. Zumindest ein Teil des Schadprogramms muss also zwingend als reguläre Datei im Betriebssystem vorhanden sein, andernfalls würde das Schadprogramm nie ausgeführt und wäre nutzlos. Erst wenn das Schadprogramm mal läuft, kann es dann über Lücken die Rechteverwaltung umgehen und Daten von beliebigen Orten nachladen.
Der Teil, der im System verborgen ist, geht bei einer Neuinstallation mit Wiederherstellung eines
sauberen Backups natürlich verloren. Mag sein, dass Teile des Schadprogramms dann noch in irgendwelchen Festplattensektoren rumliegen, aber eben – wie Leonidas schon sagte – nur als unausführbarer Datenmüll.
Aus ähnlichem Grund sind auch der PoC-Schadprogramme für Netzwerkarten und andere Peripheriegeräte praktisch harmlos. Sie werden nur unter bestimmten Umständen ausgeführt, und laufen dann nur in einer begrenzten Umgebung. Geschickt installierte Schadprogramme dagegen werden immer ausgeführt und laufen in einer unbegrenzten Umgebung.
