Mi sembra di ricordare che il riavvio di un PC Windows potenzialmente infetto prima di rimuovere il malware potrebbe consentire di sfruttare gli stati di avvio precoce che potrebbero essere vulnerabili se le misure di sicurezza vengono caricate dopo il core, approfondendo il livello di infezione o rendendo è più difficile da rimuovere. Non sono sicuro che ciò si riferisca a un rootkit in particolare o meno ... potrebbe aver descritto la trasformazione del malware in un cosiddetto rootkit.
DOMANDA: È vero e si applica ad Android e Windows 7/8/10? Che ne dici di Linux e Mac?
ALCUNI PENSIERI RAPIDI: D'altra parte, so che molte linee guida sulla risposta agli incidenti suggeriscono di disconnettere il cavo di rete E / O di spegnere il computer dopo aver scoperto o sospettato un'infezione da malware, il che è una contraddizione per punto precedente. In un ambiente aziendale, i tecnici potrebbero desiderare di mantenere il computer in vita per conservare prove forensi, ma so anche che la maggior parte dei tecnici lo spegnerà e lo riporterà al negozio per la scansione. Inoltre, il metodo di scansione più completo che utilizza un CD avviabile richiederebbe anche un riavvio per il caricamento.
Per essere chiari, questa domanda non riguarda la risposta agli incidenti, ma le funzionalità del malware e le conseguenze del riavvio del computer dopo l'infezione. Le linee guida per la risposta agli incidenti possono essere offerte in aggiunta alla risposta, ove appropriato.