電源スイッチを入れてから最初に起動するboot loaderというのにマルウェアが埋め込まれることが多いらしいです。とりあえずはどうやってアクセスするか、までを。アクセスできればboot loaderのファイルをVirusTotalにあげてチェックが可能なのでそこまでを書きます。
MacBook-Air:~ $ diskutil list
/dev/disk0 (internal, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *121.3 GB disk0
1: EFI EFI 209.7 MB disk0s1
2: Apple_APFS Container disk1 121.1 GB disk0s2
/dev/disk1 (synthesized):
#: TYPE NAME SIZE IDENTIFIER
0: APFS Container Scheme – +121.1 GB disk1
Physical Store disk0s2
1: APFS Volume Macintosh HD 99.9 GB disk1s1
2: APFS Volume Preboot 43.9 MB disk1s2
3: APFS Volume Recovery 517.0 MB disk1s3
4: APFS Volume VM 2.1 GB disk1s
ターミナルからdiskutil listでディスク名を表示。1:のEFI EFI と書いてあるdisk0s1が初回ブートに使うディスクです。
/dev/disk0s1 にそのファイルがあるかチェックします。
ls /dev/disk*
でマウント可能なディスク一覧が出ます。
sudo diskutil mount /dev/disk0s1
これで /Volumes以下に、EFI というディレクトリがマウントされてdis0s1の内容がみれるようになります。
変にいじると次回起動しなくなる恐れもあるので、ファイルをコピーして早めにマウント解除してしまいます。
cp /Volumes/EFI Desktop (デスクトップにコピー)
sudo diskutil umount /dev/disk0s1(EFIのマウント解除)
EFI内のFIRMWAREなどのファイルをVirusTotalにあげてみたところ、Relationを見るとDOS.EXEというのがたくさんありました。たぶんこれを起動させておけば後々別のマルウェアをダウンロードしてこれるやつかもしれないです。全て.EXEなのでMacには影響ない模様。
ここまでboot loader、MBR、gptなどのOS起動前に実行されるマルウェアの発見の仕方でした。発見さえできれば後はなんとでもなりそうです。